O jogo virou? Em decisão inédita, governo dos EUA bane a venda de dados sensíveis por um data broker

A Comissão Federal do Comércio (FTC) dos Estados Unidos baniu a venda de dados sensíveis sem consentimento explícito dos usuários, em um marco para a privacidade no país.

“Ao implementar o primeiro banimento da história na venda e no uso de dados de localização sensíveis, o FTC está continuando a proteger os estadunidenses de data brokers intrusivos e da vigilância corporativa sem fiscalização,” disse o porta-voz do FTC.

O broker que ficou para a história como o primeiro a ser penalizado pelo órgão regulador dos EUA é o X-Mode Social e o seu sucessor Outlogic.

Impossível não lembrar

Para aqueles que vêm seguindo notícias de privacidade nos últimos anos, o nome do data broker pode soar familiar. A X-Mode Social ganhou notoriedade pela primeira vez em novembro de 2020, quando se tornou uma atriz coadjuvante, junto do exército dos EUA, no relatório Motherboard da VICE. O relatório revelou que um aplicativo do Alcorão com mais de 100 milhões de download estava enviando dados de localização para o X-Mode, o que, em troca, era compartilhado com o governo dos Estados Unidos, incluindo o exército. A notícia causou um grande alvoroço na época, fazendo com que o aplicativo removesse o código do X-Mode do aplicativo, responsável pelo envio dos dados para o data broker. A críticas foram tão intensas que, em um raro esforço coletivo, tanto a Apple, quanto o Google disseram aos desenvolvedores do aplicativo que teriam que remover o código do X-Mode de seus aplicativos.

Quando tudo dá errado, uma das estratégias mais populares de empresas com sua reputação ameaçada é o rebranding. Um dos maiores exemplos disso é a Meta (antigo Facebook). Foi assim que. em agosto de 2021, após ter sido comprada pela Digital Envoy, a X-Mode passou a se chamar Outlogic.

O ostracismo e os ataques da empresa às duas plataformas de aplicativos aparentemente não foram uma motivação para que a Outlogic parasse com as suas práticas duvidosas para evitar que críticas no futuro. De acordo com a reclamação do FTC, que cobre as alegadas transgressões do data broker em 2021,, X-Mode/Outlogic “ele não apresentou nenhuma política para remover dados sensíveis de localização dos dados de localização vendidos” até maio de 2023(!).

Mas o que exatamente foi feito pela X-Mode/Outlogic para que sofresse essa punição inédita do governo dos EUA?

Coleta de dados como nunca se viu

Em sua reclamação, o FTC acusa o X-Mode Social e o seu sucessor de uma grande variedade de violações de privacidade, algumas piores do que outras. A maioria das alegadas transgressões da X-Mode Social vêm do fato de que vem coletando dados sensíveis de localização de mais de 300 apps através de seu SDK, ou kit de desenvolvimento de software.

O órgão regulador afirma que o X-Mode incentivava os desenvolvedores de aplicativos a inserir o SDK em seus aplicativos “ao prometer uma renda passiva por cada dispositivo mobile que dê permissão para que os seus dados de localização sejam coletados.” SDKs são partes de código que permite que o app realize tarefas importantes, como o rastreamento da localização. A vantagem para os desenvolvedores que utilizam SDKs de terceiros em seus apps é que eles não precisam desenvolver funcionalidades do zero e, assim, economizam tempo e dinheiro. Isso, unido à possibilidade de ganhar uma renda passiva, faz com que a oferta seja difícil de recusar. Assim, os desenvolvedores destes 300 aplicativos (entre eles, apps fitness, religiosos e de jogos) não recusaram a oferta.

Além disso, o data broker também coletava dados a partir de seus próprios apps, Drunk Mode e Walk Against Humanity. Além disso, ele também usava dados de outros data brokers e agregadores. O resultado de tudo isso é que o X-Mode estava coletando uma quantidade absurda de dados de dados de localização. De acordo com a FTC, o broker “absorveu mais de 10 bilhões de dados de localização do mundo todo,” tudo isso com “uma precisão de 20 metros ou menos em 70% das vezes.”

O que foi coletado e para quem foi vendido?

O SDK do X-Mode, que é a principal fonte dos dados sensíveis de localização na posse do broker, tinha acesso sem impedimentos aos dados de localização gerados pelo sistema operacional do dispositivo dos usuários. Mais especificamente, o SDK recebia “a latitude e longitude precisa do usuário, junto com o horário desta localização.” Então a informação, juntamente do identificador único do dispositivo mobile chamado Mobile Advertiser ID (or MAID), ia direto para os servidores do X-Mode.

Este conjunto de dados podia potencialmente revelar informações sensíveis sobre os usuários, como visitas a hospitais, lugares religiosos, centros de tratamento de vícios ou farmácias. De acordo com o FTC, o X-Mode não tinha preocupação nenhuma com relação às consequências de um vazamento ou mau uso em potencial, já que teria afirmado não ter “nenhuma política ou procedimentos ativos para remover as localizações sensíveis dos conjuntos de dados que vendeu.”

Além da oferta dos dados para qualquer um que quisesse pagar por eles, a X-Mode separava esses dados para criar “segmentos de audiência” baseados no número de características em comum, incluindo dados mais sensíveis. Em outro caso, a empresa chegou a oferecer à uma empresa privada de pesquisa clínica segmentos de audiência personalizados com base em visitas a diferentes médicos em Columbus, Ohio. Entre os alvos, estavam os pacientes de cardiologia, endocrinologia e gastroenterologia.

Se o fato de que uma empresa privada de pesquisa está recebendo informações de saúde que você provavelmente preferiria manter em segredo não te incomoda muito (mas deveria!), o relatório do FTC tem revelações ainda mais chocantes para você. Alguns desses dados acabaram nas mãos de “agência governamentais” que os utilizaram “com o propósito de manter a segurança nacional.” Em momento algum, seja na política de privacidade ou em aplicativos com a SDK, o X-Mode mencionou este fato “curioso”.

Os compradores dos dados de localização da X-Mode também incluem ao menos duas empresas que revenderam os dados para outras empresas, quebrando o seu contrato com o X-Mode. Neste caso, é quase impossível saber ao certo que empresas tiveram contato com os dados, já que elas podem nem sequer ter sido o destino final desses dados. Outro problema é que todas essas empresas terciárias não estão sujeitas a nenhuma restrição que o X-Mode pode ter colocado no uso destes dados.

Como estes dados poderiam ajudar a te identificar?

O X-Mode oferecia os dados aos seus compradores sem nenhum tratamento, sem nenhuma anonimização, e isso fazia com que fosse fácil identificar a maioria dos usuários. Sabendo o identificador persistente do dispositivo dos usuários (MAID), junto de várias marcações de horário nos sinais de localização, não é preciso ser nenhum Sherlock Holmes para inferir o endereço de residência do usuário com base na localização do celular à noite.

E nós ainda não mencionamos a possibilidade de suplementar esses dados com informações de fontes offline como arquivos públicos, diretórios de telefones e redes sociais, um serviços de identificação cruzada oferecido por muitos data brokers.

Riscos de utilização: de segurança nacional à publicidade direcionada

Como mencionado, alguns dos usos em potencial destes dados de localização granular poderiam estar relacionados à segurança nacional. Isso pode significar qualquer coisa, desde ações de vigilância com o objetivo de conter ataques a fiscalização de cumprimento da política de imigração.

Mas um uso muito mais popular deste tipo de dados é a publicidade. Os anunciantes utilizam estes dados para construir perfis detalhados dos consumidores com o propósito de mostrar a eles anúncios com temas relevantes, muito efetivos para a venda de produtos.

De qualquer forma, a venda de dados, nas palavras do próprio FTC, “representa uma invasão de uma das áreas mais privadas da vida dos consumidores e pode causar danos significativos” a eles. É difícil não concordar com isso.

De nossa parte, acreditamos que a decisão do FTC é muito bem-vinda e é um primeiro passo para colocar freio na indústria da venda de dados de localização. Mas é uma pena que tenha levado tanto tempo para que isso ocorresse. Acreditamos que a decisão veio tarde, e que a venda de dados sensíveis de usuários jamais deveria ter sido permitida.

Por outro lado, o FTC não baniu a venda desses dados de uma vez por todas, mas vez com que fosse uma decisão do usuário dar permissão para ela. Por mais que isso pareça uma decisão lógica em um primeiro olhar (afinal, se o usuário quiser oferecer seus dados para o data broker, ele tem o direito de fazê-lo), pode não ser tudo tão simples como parece.

Nós sabemos que empresas como o X-Mode ou o outro notório data broker SafeGraph continuarão a enganar os usuários, fazendo com que compartilhem seus dados sensíveis com a ajuda de instruções obscuras e informações enganosas. Precisamos ficar de olho nelas.