Quase todos os novos aplicativos ou produtos conectados à internet forçam você a aceitar uma política de privacidade longa e indecifrável para usá-la. Esses documentos descrevem as práticas de coleta de dados da empresa. Mas com o que exatamente você está concordando quando aceita?
“As políticas de privacidade são fundamentalmente um anúncio das maneiras pelas quais uma empresa que está fornecendo um produto ou serviço pode coletar, usar e transferir seus dados”, disse John Davisson, diretor de litígios do Centro de Informações de Privacidade Eletrônica (EPIC). “O quão específicos eles são sobre essas diferentes categorias de atividades vai depender de quanto a empresa quer divulgar.” Uma política de privacidade pode mudar um pouco com base na jurisdição, mas, em última análise, “depende em grande parte à empresa o que entra lá”, disse Davisson. Uma política de privacidade existe para dizer que uma empresa pode ou pode compartilhar seus dados. Não é necessário perguntar se você concorda com isso.
A frase “política de privacidade” pode ser facilmente mal entendida para significar que uma empresa tem uma política de proteção à sua privacidade. Mas de acordo com Jennifer King, bolsista de política de privacidade e dados do Stanford Institute for Human Centered Artificial Intelligence, esse não é o caso. “Eles têm que te dizer o que estão fazendo”, disse King, “mas não há nada neles que prometa qualquer privacidade.” Algumas empresas se submeteram a chamar essas declarações de “avisos de privacidade” ou “declarações de privacidade”.
Os Estados Unidos não têm lei nacional de privacidade, portanto, na maioria dos estados, não há requisitos descrevendo o que uma política de privacidade deve incluir. Também não há limites para a quantidade de dados que uma empresa pode coletar, e não há regras sobre como a empresa usa esses dados, desde que ela lhe dê um aviso sobre isso primeiro. Tais avisos descrevendo como os dados são coletados, usados e compartilhados constituem a maior parte da maioria das políticas de privacidade.
As grandes empresas que operam em todo o mundo precisam cumprir os padrões estabelecidos na Europa sob o Regulamento Geral de Proteção de Dados (GDPR). Mas isso não necessariamente causou um impacto significativo na forma como as políticas de privacidade são estruturadas nos EUA. Eles não são o que chamaríamos de legíveis ou compreensíveis para a maioria das pessoas, porque são escritos por e para advogados.
Isso não quer dizer que as políticas de privacidade nos EUA sejam totalmente desdentadas. Esses avisos têm que ser verdadeiros, e é assim que casos como a Comissão Federal de Comércio de 2022 surgem contra o Twitter: A empresa de mídia social foi pega usando números de telefone coletados para autenticação de dois fatores para fins publicitários, contradizendo sua política de privacidade e teve que pagar uma multa de US$ 150 milhões. No entanto, a FTC tem apenas alguns recursos, e as empresas menores, em particular, não passam por muito escrutínio.
Tudo isso significa que ainda cabe principalmente aos indivíduos tentar compreender as políticas de privacidade da melhor maneira possível.
O grande problema com as políticas de privacidade
As políticas de privacidade tendem a ser paredes impenetráveis de texto que são incompreensíveis para qualquer pessoa sem um diploma em direito.
“As empresas não estão interessadas em divulgar em termos claros quais informações estão coletando de você, como estão usando ou se vão transferi-las”, disse Davisson. “Você pode razoavelmente pensar como consumidor que se destina ao seu benefício, mas normalmente não é assim que uma empresa o vê. Esta é uma maneira de definir o que eles podem fazer com suas informações nos termos mais amplos possíveis com os quais eles podem se safar.”
Essa prática nem sempre é nefasta – as políticas de privacidade são simplesmente difíceis de escrever, especialmente quando você leva em consideração a variedade de jurisdições em que muitas empresas operam e a grande quantidade de dados que uma empresa coleta (o que é um problema separado, mas diferente).
As políticas também são sobre proteger a empresa de litígios, de acordo com a advogada de privacidade Whitney Merrill. “Quanto mais específico você for, maior o risco de que um acidente possa se transformar em um caso da FTC”, disse Merrill. “Então, há essa ideia de que, potencialmente, você quer ser excessivamente inclusivo e amplo.”
As políticas de privacidade podem cobrir tudo o que uma empresa faz, incluindo os produtos, o site de marketing, os aplicativos e, às vezes, até mesmo quais dados a empresa coleta dos candidatos a emprego. Esse amplo escopo torna a política de privacidade da empresa inútil se você está apenas tentando descobrir o que ela está fazendo com, digamos, os dados que coleta da sua escala inteligente.
Você encontrará algumas exceções, é claro. Por exemplo, a Garmin faz um bom trabalho ao diferenciar suas várias políticas de privacidade de produtos, o que é importante, já que a empresa vende tudo, desde equipamentos de navegação marítima até rastreadores de fitness.
E não há nada que impeça as empresas de tornar as políticas de privacidade mais legíveis. A política de privacidade da Malwarebytes, por exemplo, consegue incluir linguagem jurídica e mais simples, e a Automattic coloca os detalhes mais importantes no topo, tornando tudo mais fácil de entender rapidamente.
O que tomar cuidado
As políticas de privacidade são tão densas que não é surpresa que a maioria das pessoas simplesmente as ignore. Como você está revisando uma política, no entanto, há alguns aspectos em particular a serem observados, a saber, o compartilhamento ou venda de dados, que podem levar a consequências inesperadas (como quando grupos privados compram dados de localização); a coleta de informações biométricas, como dados de saúde ou fotos; e divulgações de aplicação da lei. A política de privacidade de quase todas as empresas inclui uma nota afirmando que responderá a solicitações válidas de intimação, possivelmente entregando seus dados sem o seu conhecimento. Todos esses detalhes são importantes, embora no caso da venda de dados, muitas vezes seja impossível discernir se uma política está falando sobre o site em que você está lendo a política, que é construída com o único propósito de marketing, ou o próprio produto (ou aplicativo).
Duas frases específicas de bandeira vermelha merecem sua atenção: “melhorar produtos e serviços” e “fusões ou aquisições”.
Sem detalhes específicos, a frase “melhorar produtos e serviços” pode significar basicamente qualquer coisa, nos disse Merrill. Este termo abrange principalmente informações inofensivas, como relatórios de bugs ou métricas sobre se alguém está clicando em um determinado botão. Mas “melhorar produtos e serviços” também pode incluir o treinamento de inteligência artificial ou aprendizado de máquina. Por exemplo, as fotos que você envia para um serviço podem treinar um programa de reconhecimento facial, ou imagens de vídeo de uma câmera de segurança podem ser usadas para treinar o software para distinguir melhor entre uma caixa de papelão e uma pessoa. Não conseguimos encontrar um bom exemplo de uma política de privacidade que afirmasse claramente quando uma empresa usava dados para inteligência artificial ou treinamento de aprendizado de máquina. Em vez disso, esse uso de dados é agrupado em “melhorar produtos e serviços” como “uma maneira de pintar esse uso como esse ciclo de melhoria eterna de como tornamos tudo melhor”, disse Jennifer King, de Stanford.
Depois, há a questão de como uma empresa lida com transferências de dados quando outra empresa as compra. Normalmente, o novo proprietário obtém todos os dados que a empresa adquirida coletou ao longo dos anos, o que significa que de repente você está usando um produto de uma empresa que você pode não gostar ou se sentir confortável. Por exemplo, os proprietários de azulejos podem ter ficado inquietos quando o fabricante do rastreador Bluetooth foi comprado pela Life360, e os usuários do Fitbit podem não querer ter um dispositivo feito pelo Google.
Tais problemas de privacidade são mais claramente aparentes com a empresa de vácuo de robôs iRobot, que a Amazon está em processo de aquisição. Recentemente, a MIT Technology Review descobriu que a iRobot estava compartilhando dados de testadores beta – incluindo imagens capturadas pela câmera do robô aspirador – com contratados terceirizados para treinar sua IA. Esses dados podem em breve ser de propriedade da Amazon se o acordo for aprovado.
O que uma empresa diz fora da política de privacidade é importante (mais ou algo que)
As empresas também podem optar por destacar suas práticas de privacidade ou segurança em páginas separadas em linguagem simples, o que é preferível.
Empresas notáveis que oferecem divulgações de privacidade fáceis de entender incluem Apple, Arlo e Zoom. Embora todas essas empresas ainda tenham avisos de privacidade tradicionais, elas também incluem páginas de destino que explicam a visão geral de como a empresa aborda a privacidade – e seus dados – de uma maneira significativamente mais legível do que a maioria das políticas. Essas declarações são tão vinculativas quanto qualquer política: “Se elas representam para um consumidor, mesmo fora de uma política de privacidade formal, que eles não venderão seus dados a terceiros ou não coletarão informações biométricas, e acontece que eles fizeram isso, essa é uma prática comercial enganosa clássica”, disse Davisson.
Essa noção também se aplica a entrevistas com jornalistas – e é por isso que a Wirecutter envia às empresas uma pesquisa de perguntas e respostas sobre suas práticas de dados – bem como a postagens de blog da empresa ou ao que uma empresa lista em seu rótulo de privacidade da Apple App Store ou no rótulo de segurança de dados do Google Play (embora um estudo recente da Mozilla tenha mostrado que poucos aplicativos na
O que você pode fazer
Quando lhe forem oferecidas maneiras de optar por não receber a coleta de dados, pegue-as. No seu iPhone, por exemplo, você pode pedir aos aplicativos para não rastrear sua atividade no seu telefone. O Android oferece um recurso interno semelhante, embora menos poderoso, mas você pode obter proteções de privacidade ainda mais fortes do que a Apple oferece usando um aplicativo Android de terceiros da DuckDuckGo. Também temos dicas para proteger a privacidade no seu navegador da web para desktop. Em dispositivos que se conectam à Internet, leve algum tempo para examinar as configurações para desativar qualquer coleta de dados, se possível. Para dispositivos com aplicativos complementares, revise as permissões do aplicativo e desative-as, se necessário, especialmente a localização, que os aplicativos geralmente pedem, mas raramente precisam. Se você estiver na Califórnia, Colorado, Connecticut, Virgínia ou Utah, você tem o direito de pedir às empresas (PDF) que excluam ou não compartilhem suas informações, embora o escopo de como isso funciona varie em cada estado. Você também pode optar por sair das listas de corretores de dados, e vale a pena conferir ferramentas como o aplicativo Permission Slip da Consumer Reports, que pode automatizar parte desse processo gratuitamente. Você também pode entrar em contato com qualquer empresa por e-mail para fazer perguntas sobre sua política de privacidade.
Sem uma lei de privacidade que coloque barreiras na maneira como as empresas coletam, usam e compartilham dados, pesquisar políticas de privacidade para bandeiras vermelhas e optar por não receber a coleta de dados sempre que puder são as melhores maneiras possíveis (embora imperfeitas) de proteger sua privacidade.
Fonte: Wirecutter
Por: Thorin Klosowski