Descrição de chapéu The New York Times

Facebook forneceu mais dados pessoais a gigantes da tecnologia do que o revelado

Rede social ofereceu à Netflix e ao Spotify capacidade de ler mensagens privativas de seus usuários

Nova York

Por anos, o Facebook ofereceu a algumas das maiores empresas mundiais de tecnologia acesso mais intrusivo aos dados pessoais de seus usuários do que revelava a estes, efetivamente isentando as empresas parceiras de suas regras usuais de privacidade, de acordo com registros internos da empresa e entrevistas.

Os arranjos especiais foram detalhados em centenas de páginas de documentos do Facebook obtidos pela reportagem. Os registros, gerados em 2017 pelo sistema interno da empresa para monitoração de parcerias, oferecem o retrato mais completo até o momento sobre as práticas de compartilhamento de dados da rede social. Também sublinham como os dados pessoais se tornaram a mercadoria mais procurada da era digital, comerciados em vasta escala por algumas das empresas mais poderosas do Vale do Silício e de outras partes.

A troca pretendia beneficiar a todos. Pressionando para obter crescimento explosivo, o Facebook conquistaria mais usuários, e elevaria sua receita publicitária. As empresas parceiras adquiririam recursos que tornariam seus produtos mais atraentes. Os usuários do Facebook se conectariam com amigos em diferentes aparelhos e sites. Mas o Facebook também assumiu um poder extraordinário sobre as informações pessoais de seus 2,2 bilhões de usuários –poder que a empresa exerceu com pouca transparência ou fiscalização externa.

A rede social permitiu que o serviço de buscas Bing, da Microsoft, visse os nomes de virtualmente todos os amigos de usuários do Facebook, e ofereceu à Netflix e ao Spotify a capacidade de ler mensagens privativas dos usuários da rede social.

A empresa permitiu que a Amazon recolhesse nomes e informações de contato de seus usuários por intermédio dos amigos destes, e que o Yahoo visse sequências de posts de amigos até o trimestre passado, apesar de suas declarações de que havia suspendido o compartilhamento desse tipo de dados há alguns anos.

O Facebook vem cambaleando por efeito de uma série de escândalos quanto à privacidade de seus usuários, deflagrada em março pela revelação de que a consultoria política Cambridge Analytica havia empregado indevidamente dados do Facebook a fim de criar ferramentas usadas para ajudar a campanha eleitoral do presidente Donald Trump em 2016.

Reconhecendo ter violado a confiança dos usuários, o Facebook insistiu em que havia adotado proteções de privacidade mais rigorosas meses antes do escândalo. Mark Zuckerberg, o presidente-executivo da companhia, garantiu a legisladores americanos, em abril, que os usuários têm "completo controle" sobre tudo que é compartilhado sobre eles no Facebook.

Mas os documentos, bem como entrevistas com cerca de 50 ex-funcionários do Facebook e de seus parceiros empresariais, revelam que o Facebook permitiu que certas empresas mantivessem acesso aos dados apesar dessas proteções.

Violação de acordo

O caso também desperta questões sobre a possível violação pelo Facebook de um acordo que assinou com a Comissão Federal do Comércio (FTC) em 2011, para encerrar uma investigação. A rede social assumiu o compromisso de não compartilhar dados sobre seus usuários sem a permissão explícita destes.

No total, os acordos descritos nos documentos beneficiaram mais de 150 empresas –a maioria delas no ramo de tecnologia, o que inclui companhias de varejo online e sites de entretenimento, mas também montadoras de automóveis e organizações de mídia.

As solicitações das empresas buscavam dados sobre centenas de milhões de pessoas a cada mês, de acordo com os registros. Os acordos, o mais antigo dos quais datava de 2010, continuavam em vigor em 2017. Alguns continuavam em vigor este ano.

Em entrevista, Steve Satterfield, diretor de privacidade e políticas públicas do Facebook, disse que nenhuma das parcerias violava a privacidade dos usuários ou o acordo com a FTC. Os contratos de parceria requeriam que as empresas respeitassem as normas de privacidade do Facebook, ele disse.

Ainda assim, executivos do Facebook admitiram erros nos últimos 12 meses. "Sabemos que precisamos trabalhar para reconquistar a confiança das pessoas", disse Satterfield. "Proteger as informações das pessoas requer equipes mais fortes, tecnologia melhor e normas mais claras, e esse vem sendo o nosso foco pela maior parte de 2018". Ele disse que as parcerias eram "uma área em foco", e que o Facebook estava no processo de encerrar muitas delas.

O Facebook não encontrou provas de abusos da parte de seus parceiros, disse uma porta-voz. Alguns dos maiores deles, entre os quais Amazon, Microsoft e Yahoo, disseram ter usado os dados devidamente, mas se recusaram a discutir detalhes sobre o compartilhamento. O Facebook afirmou ter errado na administração de algumas parcerias, permitindo que certas empresas mantivessem acesso aos dados muito depois de terem tirado de uso os recursos que requeriam esses dados.

No caso da maioria das parcerias, disse Satterfield, o acordo com a FTC não requeria que a rede social obtivesse consentimento dos usuários antes de autorizar que seus dados fossem revelados porque o Facebook via os parceiros como extensão de si mesmo –provedores de serviços que permitiam que usuários interagissem com seus amigos no Facebook.

Os parceiros estavam proibidos de usar os dados pessoais para outras finalidades, ele disse. "Os parceiros do Facebook não tinham o direito de ignorar as preferências de privacidade das pessoas".

Especialistas em privacidade de dados contestam a asserção do Facebook de que a maioria das parcerias estaria isenta dos requisitos regulatórios, expressando ceticismo quanto à ideia de que empresas tão variadas quanto fabricantes de eletrônicos, companhias de varejo e serviços de busca online pudessem ser vistas como similares pela agência federal.

"O único tema comum é que elas são parcerias que beneficiariam a empresa em termos de desenvolvimento ou crescimento em uma área à qual de outra forma ela não teria acesso", disse Ashkan Soltani, antigo vice-presidente de tecnologia da FTC.

Soltani e três outros ex-funcionários da divisão de proteção ao consumidor da FTC, que abriu o caso contra o Facebook que resultou no acordo, disseram em entrevistas que as parcerias de compartilhamento de dados provavelmente violavam o acordo.

"Isso é simplesmente dar a terceiros permissão para recolher dados sem que o usuário seja informado ou consinta", disse David Vladeck, antigo diretor da divisão de proteção ao consumidor da FTC. "Não compreendo como essa forma não consentida de coleta de dados poderia ser justificada à luz dos termos do acordo".

Questionados por legisladores

Detalhes sobre as parcerias estão emergindo em um momento crucial para a maior rede social do planeta.

O Facebook vem sendo avassalado por questões sobre seu compartilhamento de dados, vindas de legisladores e autoridades regulatórias nos Estados Unidos e na Europa. No segundo trimestre, a FTC abriu um novo inquérito sobre o cumprimento do acordo pelo Facebook, e o Departamento da Justiça e a Securities and Exchange Commission (SEC), agência federal que regulamenta os mercados de valores mobiliários dos Estados Unidos, também estão investigando a companhia.

O preço das ações do Facebook caiu, e um grupo de acionistas pediu que Zuckerberg seja destituído da presidência do conselho da companhia. Acionistas também abriram um processo acusando os executivos de fracassar na criação de salvaguardas efetivas à privacidade. Usuários zangados criaram o movimento #DeleteFacebok.

Este mês, um comitê parlamentar britânico que está investigando a veiculação de desinformação na internet divulgou emails internos do Facebook, obtidos por intimação a um queixoso em outro processo contra a rede social. As mensagens revelaram algumas parcerias e retratavam uma empresa preocupada em crescer e cujos líderes buscavam solapar concorrentes e chegaram a considerar por algum tempo a venda de dados sobre os usuários.

Enquanto o Facebook encara crise após crise, os críticos da empresa, entre quais diversos antigos consultores e empregados, apontam o compartilhamento de dados como causa especial de preocupação.

"Não acredito que seja legítimo fazer acordos de compartilhamento de dados quando não exista consentimento prévio e informado pelo usuário", disse Roger McNamee, que foi um investidor inicial do Facebook. "Ninguém deveria confiar no Facebook até que eles mudem seu modelo de negócios".

 Um propulsor de crescimento

Dados pessoais são o petróleo do século 21, um recurso que vale bilhões para aqueles que o extraiam e refinem da forma mais efetiva. Empresas americanas devem investir cerca de US$ 20 bilhões (R$ 78 bilhões) até o final de 2018, para adquirir e processar dados sobre os consumidores, de acordo com o Interactive Advertising Bureau.

Poucas empresas dispõem de dados melhores que os do Facebook e os de seu rival Google, cujos produtos muito populares lhes oferecem uma visão íntima sobre a vida cotidiana de bilhões de pessoas –e permitem que as duas empresas dominem o mercado de publicidade digital.

O Facebook jamais vendeu dados sobre seus usuários, por medo de reações negativas da parte deles e de fornecer aos concorrentes uma maneira de duplicar seu ativo mais valioso. Em lugar disso, mostram documentos internos da rede social, ela adotou a segunda melhor escolha: conceder a outras empresas acesso a partes da rede social, mas de maneiras que serviam aos interesses desta.

O Facebook começou a formar parcerias de dados quanto ainda era uma empresa relativamente jovem. Zuckerberg estava determinado a entrelaçar os serviços do Facebook aos de outros sites e plataformas, acreditando que isso ajudaria a evitar a obsolescência e isolaria o Facebook contra concorrência. Todos os parceiros empresariais que integraram dados do Facebook aos seus produtos online ajudaram a acelerar a expansão da plataforma, a trazer novos usuários, a convencê-los a passar mais tempo no Facebook, e a expandir a receita publicitária da rede social. Ao mesmo tempo, o Facebook recebia dados importantes de seus parceiros.

As parcerias eram tão importantes que as decisões sobre formá-las eram examinadas nos mais altos escalões da empresa, às vezes diretamente por Zuckerberg e pela vice-presidente de operações Sheryl Sandberg, disseram executivos do Facebook. Embora muitas das parcerias tivessem sido anunciadas publicamente, os detalhes sobre os arranjos de compartilhamento tipicamente eram sigilosos.

 

Em 2013, o Facebook havia formado mais parcerias desse tipo do que seus empregados de médio escalão pudessem controlar, de acordo com entrevistas com dois ex-empregados da companhia. (Como os mais de 30 ex-empregados entrevistados para este artigo, eles falaram sob a condição de que seus nomes não fossem revelados, porque assinaram acordos de confidencialidade com o Facebook ou ainda mantêm relações com executivos do Facebook.)

Assim, a empresa criou uma ferramenta que fazia o trabalho técnico de ligar e desligar o acesso e mantinha registros sobre o que a empresa designa como "capacidades" –os privilégios especiais que permitem que parceiros obtenham dados, em alguns casos sem pedir permissão.

O The New York Times revisou mais de 270 páginas de relatórios geradas pelo sistema –registros que representam apenas uma parcela dos amplos acordos do Facebook. Entre as revelações está o fato de que o Facebook obteve dados de diversos parceiros para um controvertido recurso de indicação de amigos chamado "pessoas que você talvez conheça".

O recurso, introduzido em 2008, continua a funcionar mesmo que alguns usuários do Facebook objetem a ele, incomodados pelo conhecimento que o software apresenta sobre seus relacionamentos no mundo real. O Gizmodo e outros veículos noticiosos reportaram casos em que o sistema recomendou como amigos pacientes do mesmo psiquiatra e parentes com quem o usuário está brigado; em um caso, o sistema recomendou um assediador como amigo para a vítima.

O Facebook, por sua vez, usou listas de contatos fornecidas por parceiros, entre os quais Amazon, Yahoo e a empresa chinesa Huawei –identificada como ameaça de segurança por agentes de inteligência americanos– a fim de obter conhecimento mais aprofundado sobre os relacionamentos das pessoas e sugerir mais conexões, mostram os registros.

Alguns dos acordos de acesso descritos nos documentos estavam limitados ao compartilhamento com empresas de pesquisa de informações que não identificam usuários, ou dados que permitem que empresas de jogos acomodem grande número de jogadores. Isso não gera preocupações de privacidade.

Mas os acordos com cerca de uma dúzia de empresas geram preocupações nessa área. Alguns permitiam que os parceiros vissem as informações de contato dos usuários acessando-as por intermédio dos perfis de seus amigos –mesmo depois que a rede social, em resposta a queixas, anunciou em 2014 que removeria essa capacidade de todos os apps.

Até 2017, Sony, Microsoft, Amazon e outras empresas continuavam a poder obter endereços de email de usuários através dos perfis de seus amigos.

O Facebook também permitiu que Spotify, Netflix e o Royal Bank of Canada lessem, escrevessem e apagassem mensagens privativas de usuários, e que vissem todos os participantes de uma cadeia de mensagens –privilégios que pareciam ir além do que as empresas necessitariam para integrar o Facebook aos seus sistemas, de acordo com os registros.

O Facebook admitiu que não considerava qualquer das três empresas como provedores de serviços. Porta-vozes do Spotify e da Netflix disseram que elas não estavam cientes dos amplos poderes que o Facebook lhes conferiu. Um porta-voz do Royal Bank of Canada contestou que o banco tenha desfrutado desse tipo de acesso.

O Spotify, que tinha acesso a mensagens de mais de 70 milhões de usuários ao mês, ainda oferece uma opção de compartilhamento de música via Facebook Messenger. Mas a Netflix e o Royal Bank of Canada não precisavam mais de acesso a mensagens porque desativaram os recursos de seus apps que tornavam esse acesso necessário.

Os registros internos do Facebook também revelaram mais sobre a dimensão dos acordos de compartilhamento com mais de 60 fabricantes de celulares, tablets e outros aparelhos, que o The New York Times noticiou inicialmente em junho.

O Facebook concedeu à Apple o direito de ocultar dos usuários do Facebook todos os indicadores de que seus aparelhos estavam solicitando dados. Os aparelhos da Apple também tinham acesso a agendas de contatos e compromissos de pessoas que haviam alterado seus controles de privacidade para proibir todo compartilhamento, os registros mostram.

Executivos da Apple disseram não estar cientes de que o Facebook tivesse concedido qualquer acesso especial aos seus aparelhos. Acrescentaram que quaisquer dados compartilhados continuavam hospedados nos aparelhos dos usuários e só estavam disponíveis para estes.

Executivos do Facebook disseram que a empresa revela seus acordos de compartilhamento em suas normas de privacidade desde 2010. Mas a terminologia das regras sobre os provedores de serviços não especifica que dados o Facebook compartilha, e com quais empresas. Satterfield, o diretor de privacidade do Facebook, também disse que os parceiros estavam sujeitos a "controles rigorosos".

Mas o Facebook tem um histórico menos que perfeito no que tange a policiar o que empresas externas fazem com os dados recebidos sobre seus usuários. No caso da Cambridge Analytica, um professor de psicologia da Universidade de Cambridge criou um aplicativo em 2014 para recolher dados pessoais sobre dezenas de milhões de usuários do Facebook, para a consultoria.

Pam Dixon, diretora executiva do World Privacy Forum, uma organização sem fins lucrativos que pesquisa sobre questões de privacidade, disse que o Facebook teria pouco poder sobre o que acontece com as informações quanto a seus usuários depois de compartilhá-las amplamente. "A informação viaja", disse Dixon. "Pode ser usada de modo personalizado. Pode alimentar um algoritmo e decisões sobre o usuário podem ser tomadas com base nesses dados".
 

400 milhões de usuários expostos

Diferentemente da Europa, onde as empresas de mídia social têm de respeitar regras mais severas, os Estados Unidos não têm uma lei geral de proteção da privacidade do consumidor, o que permite que as empresas de tecnologia monetizem a maior parte das informações pessoais livremente, desde que os usuários estejam informados. A FTC, que regulamenta o comércio, pode abrir processos contra as empresas que enganem seus clientes.

Além do Facebook, a FTC tem acordos em vigor com o Google e o Twitter, quanto a supostas violações de privacidade.

Questões quanto aos acordos

Para alguns defensores dos direitos do consumidor, a torrente de dados sobre usuários que flui do Facebook colocou em questão não só o cumprimento pela empresa de seu acordo com a FTC mas a abordagem da agência federal quanto à regulamentação da privacidade.

"Houve uma barragem incessante de queixas sobre o Facebook ignorar as opções de privacidade dos usuários, e acreditávamos de verdade ter resolvido esse problema em 2011", disse Marc Rotenberg, presidente do Electronic Privacy Information Center, uma organização de defesa da privacidade online que apresentou uma das primeiras queixas contra o Facebook às autoridades regulatórias federais. "Tivemos de batalhar muito para colocar o Facebook sob a autoridade regulatória da FTC. A FTC nada fez".

De acordo com o Facebook, a maioria de suas parcerias de dados se enquadram a uma cláusula de exceção, no acordo com a FTC. A companhia argumenta que as empresas parceiras são provedores de serviços –empresas que usam os dados apenas "para o, e sob a direção do", Facebook, e funcionam como uma extensão da rede social.

Mas Vladek e outros dirigentes da FTC disseram que o Facebook estava interpretando a isenção de maneira ampla demais. Disseram que o objetivo da cláusula era permitir que o Facebook executasse as mesmas funções cotidianas que outras empresas, por exemplo envio e recepção de informações via internet, ou processamento de transações com cartões de crédito, sem violar o acordo.

Quando o The New York Times noticiou suas parcerias com fabricantes de aparelhos, alguns meses atrás, o Facebook usou o termo "parceiros de integração" para descrever BlackBerry, Huawei e outros fabricantes que recolhiam dados do Facebook a fim de oferecer recursos de mídia social em seus smartphones. Todos esses parceiros de integração, o Facebook afirmou, estavam cobertos pela cláusula de isenção a provedores de serviços.

De lá para cá, sempre que a rede social revela acordos de compartilhamento de dados com outros tipos de empresa –entre as quais empresas de internet como o Yahoo–, descreve os parceiros participantes como "parceiros de integração".

O Facebook chegou a alterar a classificação de uma empresa, a gigante das buscas russa Yandex, para parceira de integração.

Os registros do Facebook mostram que a Yandex teve acesso a identidades de usuários do Facebook em 2017 mesmo depois que a companhia deixou de compartilhar esses dados com outros parceiros, mencionando riscos para a privacidade. Uma porta-voz da Yandex, que foi acusada no ano passado pelo serviço de segurança da Ucrânia de encaminhar dados sobre seus usuários ao Kremlin, disse que a empresa não sabia do acesso aos dados e que não sabia por que o Facebook o havia mantido. Ela acrescentou que as acusações ucranianas "não têm substância".

Em outubro, o Facebook disse que a Yandex não era um parceiro de integração. Mas no começo de dezembro, quando o The New York Times estava se preparando para publicar este artigo, representantes da empresa definiram a empresa como parceira de integração, em depoimento a congressistas americanos.

Uma porta-voz da FTC se recusou a comentar se a comissão concordava com a interpretação do Facebook para a cláusula de isenção a provedores de serviços, algo que deve estar em exame na investigação que a agência está realizando sobre o Facebook. Ela também se recusou a dizer se a FTC havia recebido uma lista completa dos parceiros classificados pelo Facebook como provedores de serviços.

Mas as autoridades regulatórias federais têm motivos para se informar sobre essas parcerias - e questionar se o Facebook protegeu a privacidade dos usuários como deveria.

De acordo com uma carta enviada algumas semanas atrás pelo Facebook ao senador Ron Wyden, democrata do Oregon, a auditoria PricewaterhouseCoopers examinou ao menos algumas das parcerias de dados da rede social.

A primeira avaliação, encaminhada à FTC em 2013, encontrou indicações apenas "limitadas" de que o Facebook monitorava o uso de dados por seus parceiros. Essa constatação foi rasurada em uma cópia do relatório que circulou publicamente, no qual o programa de proteção à privacidade do Facebook era aprovado, com algumas ressalvas.

Wyden e outros críticos questionam se as avaliações - sob as quais a FTC basicamente terceiriza suas funções fiscalizadoras cotidianas para a PricewaterhouseCoopers e outras empresas - são efetivas. Como no caso de outras empresas que operam sob acordo com a FTC, o Facebook paga pelas avaliações e em geral dita seu escopo, que se limita a documentar que o Facebook conduziu as revisões internas sobre privacidade que diz ter conduzido.

Não se sabe se o Facebook fiscalizava de perto seus parceiros de dados. A maioria dos parceiros do Facebook se recusou a discutir sobre as formas de fiscalização ou auditoria a que o Facebook os submeteu. Dois antigos parceiros do Facebook, cujos acordos com a rede social datam de 2010, disseram não ter descoberto indicações de que o Facebook os tenha auditado. Um desses parceiros é a BlackBerry, e o outro é a Yandex.

Executivos do Facebook disseram que embora a rede social audite seus parceiros apenas raramente, os administra de perto.

"Eram relacionamentos de muito contato", disse Satterfield.
 
Tradução de PAULO
MIGLIACCI

The New York Times

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.