Facebook violou as próprias normas de privacidade

Acusações de exposição indevida de dados de usuários não são novidade no currículo do Facebook (leia mais). Ao contrário, a relação de episódios na breve história da maior rede social do mundo é proporcional à sua dimensão. No início desta semana, mais um caso veio a público. O diário norte-americano Wall Street Journal revelou que aplicativos disponíveis no site, criados por desenvolvedores independentes, vinham transmitindo informações dos usuários da rede a 25 agências de propaganda, que recebiam pacotes com nomes, preferências e listas de amigos. É uma mina de ouro. Nas mãos dessas empresas, os dados poderiam alimentar ações publicitárias dirigidas aos diferentes perfis de potenciais consumidores. O Facebook reconheceu que houve a transferência “acidental” de informações, mas alegou que, nos moldes em que ocorreu, o vazamento não teria permitido acesso compulsório a dados privativos. É uma afirmação questionável. O que é certo é que o vazamento configurou, de fato, uma violação das regras da rede.

A informação de usuários que reconhecidamente foi repassada pelos desenvolvedores de aplicativos a agências de publicidade atende pelo nome de UID (ou User Identification), que nada mais é do que uma sequência numérica utilizada pelo Facebook para identificar cada um de seus cadastrados. É um RG digital. Quando uma pessoa está logada na rede social, o número pode ser visto na barra de navegação do browser, logo após o endereço padrão do site. Por meio dele, é possível ter acesso aos dados públicos do usuário, como nome, sobrenome, foto, sexo, lista de amigos e endereço do perfil – números de telefone e endereços de e-mail ficam de fora. Isso derruba a versão do Facebook de que, devido ao vazamento de UIDs, informações pessoais não foram compulsoriamente acessadas.

Há situações em que perfis podem revelar ainda mais sobre seus titulares. É o caso de pessoas que, inadvertida ou deliberadamente, não restringem a exibição de informações pessoais na área do site destinada a tal propósito (“Configurações de Privacidade”). Ali, é possível, por exemplo, determinar que a lista de assuntos preferidos (música, livros, sites etc.) seja vísível apenas para “amigos”, ocultando os registros dos demais cadastrados do serviço. Caso tenha-se optado por uma configuração menos restritiva, esses dados serão acessíveis também a partir do UID. Em outras palavras, as tais 25 agências publicitárias que receberam os números podem, sim, ter lido esses conteúdos. Um agravante: sabe-se que muitos usuários não dão muita atenção a seus controles de privacidade.

Ainda que o Facebook estivesse correto em seu argumento, outro fator impera neste episódio: uma regra da própria rede social proíbe o repasse de informações de usuários a terceiros. A desobediência a tal norma pelos desenvolvedores independentes de aplicativos pode levar à suspensão e até ao banimento de um programa da rede. E o Facebook descumpriu a orientação. Mesmo depois de a rede reconhecer o vazamento de dados, aplicativos como o game social FarmVille, com quase 60 milhões de adeptos e um dos envolvidos no episódio, permanecia no ar. O mesmo ocorreu com outros sucessos, como Texas HoldEm Poker e FrontierVille. Programas menores foram retirados de circulação. Mário Nogueira Ramos, consultor independente de produtos de internet, dá uma pista sobre o que pode ter ocorrido: “É impossível para o Facebook verificar tudo o que acontece com os dados de usuário repassados aos aplicativos. Assim, as regras para os desenvolvedores são basicamente um acordo de cavalheiros”, diz.

Para a advogada Patrícia Peck, especializada em direito digital, o Facebook de fato falhou ao manter no ar os aplicativos responsáveis pelo vazamento. “Se detectada alguma irregularidade e, ainda assim, o Facebook decidiu permitir que a aplicação continuasse no ar, faltou-lhe diligência, pois permitiu que os dados de seus usuários fossem expostos ao risco”, explica. Ela acrescenta que as pessoas que se sentiram prejudicadas pela “quebra de contrato” no episódio podem mover ações contra a rede, mas os processos devem ser promovidos nos Estados Unidos, já que a empresa não tem representação oficial no país. O Ministério Público poderia ser acionado para aplicar multas.

(In)segurança – O vazamento das informações pode ser revelador também de problemas de segurança no sistema da maior rede social do planeta. A avaliação é de Bruno Rossini, gerente de relações públicas da empresa de segurança digital Symantec para a América Latina. O executivo aponta falha de gerenciametno adequado no trato de informações críticas aos usuários. “Elas podem ser utilizadas para o envio de spam, que é a principal fonte de ataques destinada ao roubo de dados bancários e envio de vírus. Pode haver também o roubo de identidade, caso o criminoso consiga material suficiente para se passar por um cadastrado”, diz Rossini.

Leia mais:

Cada vez mais exposição no Facebook

Privacidade na rede: o Facebook contra-ataca

Criticado, Facebook muda controles de privacidade