Os dados pessoais podem ser recolhidos por empresas a partir de muitas fontes diferentes e transformados numa “identidade secreta”. Isto acontece quando as empresas usam informações sobre si para assumir os seus traços de personalidade e prever o seu comportamento, e vender esse perfil a outros. Mas quem são as empresas por trás dessa prática?
Agora, mais do que nunca, com uma pandemia global a acontecer, as nossas vidas estão a ser moldadas pela nossa interacção com o mundo digital. Reuniões de trabalho no Zoom seguidas de Skype com a família antes de uma corrida rápida com a sua app favorita de exercício físico e uma pesquisa no Google para preparar a sua próxima refeição: tecnologias e serviços oferecem-nos muito e melhoram bastante o nosso dia-a-dia. Mas qual é o custo real dessas ferramentas nas quais tanto confiamos?
Muitas dessas empresas, especialmente aquelas que oferecem serviços gratuitos, recolhem dados pessoais. Podem ser dados que partilha de forma consciente e voluntária para aproveitar os benefícios do serviço (nome, idade, endereço de e-mail …) ou dados que pode não perceber que está a partilhar, como a sua localização aproximada através do endereço IP ou um identificador da rede social ou através de aplicações que acedem aos seus contactos pessoais. Às vezes, as empresas recolhem informações muito confidenciais de sites que visitou e com os quais interagiu, por exemplo, sites sobre saúde mental, revelando o seu estado de espírito ou o diagnóstico de uma doença. Para complicar ainda mais, nem sempre as empresas que recebem esses dados são as que prestam o serviço, como é o caso dos rastreadores de terceiros nos sites.
Embora alguns desses dados e a sua recolha possam parecer inofensivos para alguns, o que acontece nos bastidores é uma verdadeira fonte de preocupação, pois essa colecção de dados é apenas a primeira etapa de um processo longo e opaco. As empresas de tecnologia de publicidade (“adtech”) combinam essas informações e criam uma imagem que assumem ser sua, semelhante a uma “identidade secreta”. As suas informações pessoais podem, de facto, ser recolhidas, cruzadas e processadas para criar um seu perfil por empresas das quais você nunca ouviu falar. Usando os dados que recolhem sobre si, essas empresas podem inferir ainda mais informações sobre os seus interesses, hábitos, objectivos e receios, com uma precisão variável.
Estes perfis são como identidades secretas que revelam partes suas que nem mesmo os seus amigos mais íntimos podem conhecer. Duvida? Com solicitações de acesso de titulares de dados (DSARs), obtivemos alguns dos nossos próprios perfis e os resultados foram assustadores. Os dados que recebemos equivaliam a todo o nosso histórico de navegação e continham características detalhadas inferidas desse histórico de navegação e obtidas de outras empresas de rastreamento.
Reunidos a partir de dados incompletos e usando algoritmos de marketing, esses dados formam uma sua imagem misteriosa, que talvez não tenha revelado voluntariamente, uma sombra digital sobre a qual tem muito pouco controlo prático.
Por que me devo importar? Elas usam realmente esses dados para alguma coisa?
Em teoria, esses dados são recolhidos com um único propósito: servir-lhe anúncios mais personalizados. O ecossistema de publicidade direccionada, usando rastreadores incluídos nos sites que se visita e kits de desenvolvimento de software (SDKs) nas aplicações que se usa, visa obter uma imagem melhor de si para lhe apresentar anúncios mais relevantes. Então, sim, estes dados estão a ser usados para lhe servir anúncios, apesar dos benefícios em relação à publicidade não direccionada que estão em debate.
Mas não pára por aí. O ecossistema “adtech” tem uma característica principal: ele liga empresas a si através de uma infra-estrutura opaca e tecnicamente complexa, permitindo que quase qualquer pessoa entre no mercado de recolha e troca de dados. Isto significa que qualquer empresa pode participar de processos como leilões em tempo real (“Real-Time Bidding“) apenas para recolher dados e nunca exibir anúncios. O que isso também significa é que as empresas que participam desse processo (digamos, por exemplo, duas empresas “adtech” que rastreiam as suas actividades num conjunto diferente de sites) podem obter dados umas das outras para consolidar os dados e perfis que têm sobre as pessoas.
Como consequência, as empresas que participam deste ecossistema (ou às vezes por conta própria) são capazes de vender os seus dados a clientes que podem não os estar a usar para lhe tentarem vender coisas. Existem notícias de dados de localização vendidos a agências federais nos Estados Unidos para fins de controlo de fronteiras, bem como para os militares.
Os seus dados também podem alimentar a aprendizagem por máquina (“machine learning”)/inteligência artificial que está a ser usada no sistema de justiça criminal para tomar decisões em seu nome, seja para avaliar o potencial de reincidência e, consequentemente, que tipo de serviços de reabilitação, ou a sua capacidade de entrar num país. Longe da expectativa que as pessoas possam ter sobre os seus dados, isso revela como informações aparentemente inofensivas podem ser usadas contra nós, sem o nosso conhecimento ou consentimento.
Dados esses exemplos, não é difícil imaginar que os seus dados pessoais podem ser usados para influenciar o preço do seu seguro (tendo por base o quanto se exercita, por exemplo), a sua capacidade de garantir uma hipoteca (com base no seu site de notícias favorito) ou na sua capacidade de conseguir um emprego (com base na sua saúde mental).
Muito bem, mas quem são essas empresas?
O desafio ao falar sobre as empresas que possuem as suas identidades secretas é a sua diversidade e multiplicidade. Ao contrário de nomes conhecidos como Facebook ou Google, a maioria das empresas que a/o rastreiam online são desconhecidas do público.
Através das nossas pesquisas e de campanhas anteriores, a Privacy International (PI) revelou algumas dessas empresas e as suas actividades. Incluem empresas “adtech”, agências de rating de crédito e corretores de dados (“data brokers”), actores fundamentais no ecossistema “adtech” cujo modelo de negócio principal é recolher, processar e trocar os seus dados pessoais. Estas empresas estão no centro de muitas acções judiciais na Europa, incluindo pelas nossas reclamações contra sete empresas que apresentámos a três autoridades de protecção de dados.
O Information Commissioner’s Office (ICO) no Reino Unido enviou recentemente um aviso de execução à Experian, em parte devido às nossas reclamações.
Mas outro tipo de empresas demonstra prática semelhante e constrói identidades secretas de pessoas. Isso inclui empresas que oferecem SDKs de rastreamento, com bits de código incluídos em aplicações para adicionar recursos. Oferecendo uma maneira para os programadores monetizarem as suas aplicações, algumas dessas empresas têm recolhido e vendido dados de localização a agências federais sem o conhecimento ou consentimento dos utilizadoress. Ao oferecer um serviço aos seus clientes, essas empresas actuam como corretoras de dados disfarçadas, enriquecendo o seu conjunto de dados de perfis. Da mesma forma, a Bounty UK Ltd, uma empresa de vendas e marketing com acesso permitido a maternidades, foi multada em £400,000 (mais de 460 mil euros) pelo ICO em 2019 por vender ilegalmente os detalhes de 14 milhões de mães e bebés a 39 empresas quando operava como corretora de dados.
Muitos outros modelos de negócios disfarçam essas práticas empresariais invasivas. “Add-ons” gratuitos acrescentam recursos ao seu site enquanto recolhem informações sobre os utilizadores; agregadores e comparadores de seguros ou de hipotecas recolhem as suas informações, cartões de fidelidade…
Outras empresas foram colocadas sob os holofotes, como a Securus Technologies, que desenvolveu tecnologias de rastreamento de telemóveis destinadas a presos, mas que acabaram por ser usadas pela polícia sem um mandado para rastrear alguém.
A PI criou dois casos de uso para ilustrar quais são os tipos de empresas que podem estar a recolher as suas identidades secretas:
– Tracking as a service: ShareThis to be profiled!
– Mobile App Monetisation – Covert trackers in your pocket
* Texto e imagens publicados pela Privacy International. Reproduzido sob licença (CC BY-SA 4.0).
Mais informação:
Prohibit targeted advertising in Digital Services Act, EU data watchdog says
What do political databases know about you?
TICtank 