Nossos dados pessoais são um bem valioso que alimenta a indústria da publicidade online, um dos mecanismos da nova economia digital. No entanto, não somos nós que nos beneficiamos desse bem, mas as empresas de tecnologia de anúncios, que lucram muito com a venda de nossos dados, muitas vezes sem o nosso conhecimento e consentimento explícito e muito menos alguma recompensa.

Esta troca gigantesca, que vale meio trilhões de dólares, envolve vários atores em diferentes estágios, é feita de maneira encoberta, apesar de sua escala gigantesca.

Venha ver o que acontece por baixo dos panos.

Seus dados são leiloados a cada milisegundo

Quase todo app mostra anúncios e, por mais que você tenha a impressão de que eles sejam aleatórios, não é bem assim. É bem provável que estes anúncios sejam direcionados especialmente para você e que outros usuários do mesmo aplicativo estão tendo uma experiência publicitária completamente diferente. Agora, tentaremos explicar como o processo de seleção de anúncios funciona em detalhe.

Imagine que você está usando um app com alguns espaços para anúncios (e essa é provavelmente a realidade, já que mais de um terço dos desenvolvedores de aplicativos são dependentes da renda com publicidade para lucrar). O aplicativo quer vender este espaço para quem oferecer a maior quantidade de dinheiro, então envia uma solicitação para a plataforma que conecta os editores de apps e os anunciantes, como o Google Ads, por exemplo. Esta plataforma então envia a solicitação para uma outra plataforma em que os espaços publicitários são leiloados em tempo real. O intercâmbio de anúncios então é transmitido para muitas outras plataformas que representam os anunciantes digitais, como o Facebook Ads Manager ou Google Display & Video 360. Eles analisam as informações do seu dispositivo e o seu comportamento online, decidindo quanto querem pagar por uma chance de te enviar um anúncio. Esse processo é conhecido como lances em tempo real (real-time bidding ou RTB, em inglês) e acontece em milisegundos. Quem tiver o maior lance é o vencedor e exibirá anúncios na sua tela.

Mas tem um detalhe: seus dados não são vistos apenas pelo anunciante que venceu o leilão e te mostrará anúncios. Quando os anunciantes competem por espaços publicitários no app, eles obtêm acesso aos seus dados, que incluem informações sobre o seu dispositivo, localização, uso de aplicativos e mais. Isso apenas é possível porque não existem regras ou padrões claros sobre como os dados do fluxo de lances devem ser protegidos. Isso quer dizer que os outros participantes do leilão que não foram vencedores podem usar os seus dados para outras coisas. Mas para quê exatamente? Você descobrirá em breve.

O Google e o Facebook são os principais atores no mercado RTB. Nossos dados mostram que os serviços do Google Ads são responsáveis por mais de 11% de todas as solicitações iniciais de anúncios, enquanto o Facebook Audience Network, que permite o leilão de espaço tanto em aplicativos, quanto em sites, é responsável por aproximadamente 10%. As solicitações iniciais são aquelas enviadas pelo app para o carregamento de um anúncio, que pode desencadear solicitações de anúncios adicionais caso sejam bem-sucedidas. O Applovin, líder no leilão em tempo real in-app, aparece em terceiro lugar com 7% de todas as solicitações de anúncios. A Amazon Ad System e a ironSource, empresa com sede em Israel envolvida no intercâmbio de anúncios, completam o top 5 com cerca de 2.4% e 1.3%, respectivamente.

Além dos anunciantes e editores, outro personagem essencial no intercâmbio de dados é o data broker, que também acessa os dados do fluxo de lances. O seu objetivo não é te enviar anúncios, mas reunir estes dados em pacotes e enviar para os seus próprios clientes, inclusive agências governamentais. Estas últimas utilizam estes dados “obtidos comercialmente” como bem entenderem, sem quaisquer restrições. Os principais usos envolvem vigilância, aplicação de leis de imigração e policiamento.

Como um app da Geração Z vazou dados de localização para o governo dos EUA

Uma perfeita ilustração desta tendência é um informe recente do Wall Street Journal de que um data broker de consumidores chamado Near Intelligence estava vendendo dados sensíveis de usuários até mesmo da União Europeia para o governo dos EUA através de "entidades de fluxo contínuo" "até o começo desse ano". Os dados coletados pela Near Intelligence acabavam nas mãos da DCSA (Agência de Defesa de Contrainteligência e Segurança), NSA (Agência de Segurança Nacional), NGA (Agência Nacional de Inteligência Geoespacial), USAF Cyber Ops (Ciber Operações da Força Aérea dos Estados Unidos), do Departamento de defesa e do JCOS (Estado-Maior Conjunto dos Estados Unidos).

O data broker inserido no fluxo de dados passou por vários intercâmbios de anúncios e, embora houvesse acusações de que a Near estava violando o TOS dos leiloeiros ao revender os dados e utilizá-los para propósitos não ligados à publicidade, continuou no negócio por bastante tempo.

Um dos aplicativos que oferecia dados para a Near Intelligence (e, por conseguinte, para o governo dos EUA) foi o Life360, um app com sede em San Francisco que permite que amigos familiares rastreiem a localização uns dos outros com consentimento. O app é especialmente popular entre a geração Z e chegou a ser chamado de "o melhor acessório para a volta às aulas". O app exige várias permissões para funcionar, como acesso à sua localização aproximada quando o app não está em uso e acesso à localização precisa durante o uso. Quanto mais permissões um app exige, mais dados podem ser compartilhados com anunciantes parceiros. Esses dados também se tornam mais e mais valiosos para o governo.

Às vezes, quando as práticas de dados questionáveis de aplicativos são colocadas em cheque, eles podem alegar ter mudado suas práticas. Mas, normalmente, os tudo continua da mesma forma ou há apenas pequenos ajustes.

Uma investigação separada feita pelo The Markup descobriu já em dezembro de 2021 que a Life360 estava vendendo dados de localização precisa para cerca de doze parceiros de dados, e que este negócio era bastante lucrativo. Na época, a Life360 disse que pararia de compartilhar dados com os data brokers, mas reiterou que continuaria a vender informações de localização precisa e dados de localização "agregados" a empresas de analytics. Além disso, por mais que a Life360 tenha dito que a Near estava violando os seus termos de serviço ao compartilhar dados com agências governamentais, a empresa não parece ter tomado uma atitude para impedir que isso se repita.

Mais comum do que você pensa

A prática de obtenção de dados sensíveis de usuários pelo governo através de meios obscuros (sem garantias ou regulamentações legais) é comum, especialmente em países em que as leis de proteção de dados não são muito sólidas. Isso é praticamente em todos os lugares, com a possível exceção do Reino Unido. Os data brokers fazem parte deste negócio clandestino sem nenhum escrúpulo, determinados a lidar com qualquer risco à reputação que possam aparecer.

Além do intercâmbio de anúncios, outra atividade de obtenção de dados comum entre os data brokers é a obtenção de dados diretamente dos aplicativos. Alguns aplicativos podem compartilhar localização precisa; outros, o seu tipo de dispositivo, nome, número de telefone… e qualquer outro dados em que puderem colocar as mãos. Todos estes dados são linkados ao seu identificador de publicidade mobile ou, em outras palavras, a um ID único conferido ao seu dispositivo. De pouquinho em pouquinho, um data broker passa a conhecer cada vez mais sobre você ao obter informações de diferentes apps e outras fontes online e offline, como perfis de redes sociais e arquivos públicos. No fim das contas, o data broker consegue criar um perfil capaz de te identificar.

Um dos data brokers que se tornaram notórios pela mineração de dados de aplicativos é o SafeGraph, cuja história nós cubrimos em detalhes no ano passado. Em resumo, o SafeGraph recebeu acesso aos dados de localização de aplicativos que utilizam o seu SDK, um kit de desenvolvimento de software. Os SDKs são peças de códigos que os desenvolvedores de aplicativos utilizam para economizar tempo e dinheiro. Eles oferecem funcionalidades prontas (como o rastreamento de localização) para que não haja necessidade de desenvolver o código do zero. Os desenvolvedores também podem ser pagos por data brokers para que compartilhem os dados dos usuários através de SDKs. Assim, se você der permissão para que o app acesse a sua localização, o SDK do app também terá acesso a ela e a enviará para o data broker.

Na verdade, a prática de compartilhamento de dados, ou melhor, venda de dados, é tão generalizada que não faltam exemplos. Aqui estão apenas alguns:

• Em maio de 2022, um relatório constatou que agências governamentais dos Estados Unidos, como o ICE, compraram bilhões de pontos de dados de empresas privadas sem qualquer supervisão. E sempre que a prática era contestada, o governo encontrava uma maneira de contornar as restrições. Por exemplo, após Oregon proibir o compartilhamento de dados estaduais com o ICE, o Departamento de Veículos Automotores de Oregon vendeu registros de carteiras de motorista para corretores de dados para que o ICE pudesse acessá-los.

• Em março de 2021, o Motherboard da Vice revelou que uma unidade militar dos Estados Unidos que realiza ataques de drones e reconhecimento comprou dados de localização de aplicativos comuns por meio de uma ferramenta chamada Locate X, desenvolvida por um corretor de dados chamado Babel Street.

• Em novembro de 2020, foi revelado que o exército dos EUA comprou dados de localização de um aplicativo de oração muçulmana — um dos casos mais notáveis até o momento.

Nem mesmo um segredo mais

Há anos, é um segredo aberto que, nos casos em que o governo não pode legalmente apreender seus dados, ele pode usar um caminho indireto — comprando-os no mercado de dados online. Essa prática é tão bem documentada, que em algum momento até mesmo o governo dos EUA parou com a pretensão. Em março deste ano, o diretor do FBI, Christopher Wray, reconheceu pela primeira vez que o FBI comprou informações de geolocalização de telefones dos EUA de empresas privadas. No entanto, ele afirmou que a agência parou de fazer isso em algum momento. E cabe a você acreditar ou não em suas palavras.

O que você pode fazer para escapar da vigilância do governo por meio de anúncios direcionados?

Você pode se sentir impotente diante dessa máquina de mineração e venda de dados, cuja engrenagem é projetada para extrair seus dados para lucro. Sem uma legislação robusta que proíba agências governamentais de obter dados de empresas privadas sem supervisão, a prática provavelmente continuará. Primeiro, porque é muito mais fácil para o governo obter dados dessa maneira; segundo, porque é lucrativo.

Então, o que você pode fazer realisticamente é reduzir a quantidade de rastros que deixa online e obscurecer aqueles que inevitavelmente deixará. Aqui estão algumas medidas que você pode tomar para proteger seus dados da vigilância:

• Desative ou redefina seu identificador de publicidade. Seu ID de publicidade é um número único atribuído ao seu dispositivo usado por corretores de dados para vincular dados sobre você de diferentes fontes. Portanto, se você desativar (o que nem sempre é possível) ou redefinir seu ID de publicidade, tornará a missão dos corretores de dados de construir seu perfil não impossível, mas mais complicada.

• Não conceda permissões desnecessárias aos seus aplicativos. Muitos aplicativos pedem permissões que realmente não precisam, como acesso à sua localização, câmera, contatos, etc. Isso pode ser usado para coletar e compartilhar seus dados com corretores de dados. Você pode verificar e alterar as permissões dos seus aplicativos nas configurações do seu dispositivo. Além disso, mesmo que um aplicativo realmente precise de certas permissões sensíveis (como um aplicativo de clima precisa de acesso à sua localização), seja prudente ao concedê-las. Antes de baixar um aplicativo, pesquise suas práticas de privacidade, leia avaliações e verifique se há notícias sobre seus comportamentos de compartilhamento de dados.

• Use um bloqueador de anúncios. Nunca cansaremos de dizer: cada solicitação de anúncio (a solicitação do seu navegador para carregar um anúncio) também é uma solicitação de rastreamento! Um bloqueador de anúncios impedirá não apenas que os anúncios sejam carregados, mas também impedirá que os scripts rastreiam seu comportamento e interesses online. No início deste ano, estimamos que as solicitações de rastreamento de anúncios compõem cerca de 19,6% do tráfego da internet, e a maioria dessas solicitações é 'oculta', ou seja, dependente das solicitações iniciais de anúncios e de outros domínios de anúncios que carregam.

• Limite o uso de serviços "gratuitos". Lembre-se, se você não está pagando por algo, você não é o cliente; você é o produto.