No final de semana passado, o Facebook se viu envolvido numa enorme controvérsia: foi revelado que a Cambridge Analytica, empresa de análise de dados que trabalhou para a campanha presidencial de Donald Trump, obteve informações pessoais de dezenas de milhões de usuários do Facebook sem autorização.
Entre 2010 e 2015, o Facebook permitiu que aplicativos desenvolvidos por terceiros coletassem várias informações pessoais dos usuários da rede e de seus amigos. Após ficar sabendo, em 2015, que poderia haver uso abusivo dessas informações, o Facebook passou a impedir esse acesso e atualizou sua plataforma tecnológica. Mas era tarde demais – a Cambridge Analytica já tinha obtido os dados de milhões de pessoas. Eis como isso aconteceu e como o Facebook se meteu nessa confusão.
2010 — O Facebook lança a versão 1.0 da API Open Graph para desenvolvedores, que permite ampla coleta de dados dos usuários.
Em 21 de abril de 2010, o Facebook abriu seu grafo social para aplicativos criados por terceiros. Esses apps podiam requisitar grandes quantidades de dados, inclusive informações de amigos dos usuários, sem oferecer explicações do motivo.
Os aplicativos podiam colher dados que incluíam o perfil público do usuário (nome, gênero, localização, fuso horário e ID do Facebook), assim como os nomes dos seus amigos e seus aniversários, bios, formação, visão política, status de relacionamento, religião, notas, status do chat e mais. Graças às permissões estendidas, os desenvolvedores acessavam até mesmo mensagens privadas dos usuários. A lista completa está na página 5 deste estudo.
Naquele mesmo ano, Mark Zuckerberg escreveu um artigo no jornal Washington Post prometendo rever a política de privacidade do Facebook, para que os usuários tivessem controle mais detalhado das permissões de coleta de dados e para reduzir a quantidade de informações disponíveis para o público.
2012 – O Facebook muda o design da página em que se pediam permissões de acesso aos dados, para ficar menos aparente para os usuários que eles estavam entregando mais informações pessoais.
Capturas de tela de 2012 mostram como o Facebook mudou as opções da permissão de coleta de dados pelos jogos. Em vez de “permitir” ou “não permitir”, o texto passou simplesmente a dizer “jogar”, o que não comunicava claramente aos usuários que eles estavam aceitando o compartilhamento de suas informações. Além disso, o novo design escondia a explicação do que o Facebook considerava “informações básicas” em um pequeno ponto de interrogação. Os usuários só viam a explicação detalhada se passassem o mouse sobre o “?”.
2013 – O pesquisador Aleksander Kogan, da Universidade de Cambridge, desenvolveu um quiz usando a API do Open Graph. Mais de 270 mil pessoas fizeram o quiz, entregando suas próprias informações e também as de seus amigos.
O pesquisador Aleksandr Kogan, usando o nome de uma empresa chamada “Global Science Research”, colocou o quiz sobre personalidades também no Mechanical Turk, serviço da Amazon que oferece remuneração mediante a execução de tarefas simples. Segundo o site The Intercept, Kogan pagava entre 1 e 2 dólares para quem completasse o quiz usando suas contas do Facebook.
Por causa das regras para aplicativos de terceiros em vigor na época, as mais de 270 mil pessoas que preencheram o quiz consentiram em entregar seus dados para Kogan, além das informações de dezenas de milhões de seus amigos. Kogan disse ao Facebook e aos usuários que as informações permaneceriam anônimas, mas não foi o que aconteceu.
Muitas pessoas descrevem a coleta de dados por parte da Cambridge Analytica como uma falha de segurança, mas em tuítes (agora apagados), o executivo do Facebook Alex Stamos disse que Kogan não invadiu sistema nenhum: “Ele fez mau uso dos dados depois de coletá-los, mas isso não significa retroativamente que tenha havido ‘falha’”.
2014 – O Facebook publica estudo sobre um experimento com a timeline para influenciar as emoções dos usuários, e as pessoas ficam furiosas.
A publicação do estudo, em junho de 2014, gerou uma grande controvérsia sobre privacidade no Facebook. Os usuários ficaram furiosos com o fato de a empresa fazer o experimento sem consentimento mais explícito.
Em 2012, o Facebook sujeitou quase 700 mil usuários a um estudo cujo objetivo era descobrir como fazer as pessoas se sentirem mais felizes ou mais tristes, com base no que o Facebook mostrava nas suas timelines. A empresa disse ter aderido à sua política de uso de informações dos usuários, segundo a qual, ao criar suas contas, todos os usuários concordaram em dar consentimento informado para a realização da pesquisa. Mas a Forbes noticiou que a cláusula relativa a pesquisas foi adicionada aos termos de uso em maio de 2012, quatro meses depois da realização do estudo.
2014 – O Facebook começa a colocar limites na versão 1.0 da API do Open Graph.
Em 2014, na conferência anual F8, a empresa anunciou que estava começando a desligar a API do Open Graph, limitando de modo significativo a quantidade de dados acessada pelos aplicativos de terceiros. Além disso, os apps teriam de obter aprovação prévia do Facebook para requisitar dados “sensíveis”.
Um comunicado de imprensa do evento afirmava: “Ouvimos das pessoas que elas estão preocupadas com o compartilhamento de informações com apps e também que elas querem mais controle sobre seus dados”.
Mas as permissões concedidas aos aplicativos entre 2010 e 2015 não estavam sujeitas a essa nova limitação. É provável que os desenvolvedores de apps tenham armazenado dados em seus próprios servidores.
2015 – O Facebook fecha a API.
Em 30 de abril de 2015, o Facebook fechou o acesso à API do Open Graph e atualizou sua plataforma para que menos dados fossem entregues a terceiros, especialmente sobre amigos. A empresa também ofereceu controles mais detalhados sobre que tipo de informação os usuários poderiam compartilhar com os desenvolvedores, e uma nova tela de login continha um link para “editar as informações que você oferece”.
2015 – O jornal The Guardian noticia que a campanha presidencial do republicano Ted Cruz usou “dados psicológicos” de milhões de usuários do Facebook nos EUA. A empresa exige que a Cambridge Analytica destrua as informações que coletou dos usuários do Facebook.
Por meio de uma consulta do The Guardian, o Facebook descobre que Aleksandr Kogan, pesquisador por trás da Global Science Research, tinha vendido os dados coletados por seu quiz para uma empresa chamada Strategic Communications Laboratories, que mais tarde viria a ser a Cambridge Analytica. Os dados foram vendidos para “fins de pesquisa”.
O Facebook obteve confirmação de que a empresa tinha comprado os dados, mas não admitiu isso publicamente. O Facebook então pressionou legalmente a Cambridge Analytica a destruir “todos os dados coletados de forma imprópria”, segundo declaração fornecida por um porta-voz da empresa. Segundo Andrew Bosworth, executivo do Facebook, a companhia “certificou em um documento legal ter apagado os dados”. Por essa razão, a Cambridge Analytica não foi suspensa da plataforma na época.
2016 – A campanha do então candidato Donald Trump contrata a Cambridge Analytica.
Na reta final das eleições de 2016 nos Estados Unidos, a campanha de Donald Trump começou a investir pesadamente em publicidade no Facebook. Um super PAC (organização que arrecada recursos e financia atividades em favor de candidatos, porém sem vínculos formais com a campanha) produziu um vídeo anti-Hillary Clinton que mirava em segmentos específicos do eleitorado identificados pela Cambridge Analytica. Uma investigação da emissora britânica Channel 4 mostra Mark Turnbull, um dos diretores da Cambridge Analytica, afirmando que a empresa foi responsável pela campanha “Defeat Crooked Hillary” (derrote a desonesta Hillary), no Facebook.
17 de março de 2018 – O New York Times e o Guardian noticiam que a Cambridge Analytica ainda tem os dados coletados impropriamente de até 50 milhões de usuários.
A Cambridge Analytica não destruiu todos os dados dos usuários do Facebook, no fim das contas. Depois da publicação das reportagens, o Facebook suspendeu a Cambridge Analytica, assim como Christopher Wylie, da Eunoia Technologies, fornecedora contratada pela empresa. Wylie detalhou para o New York Times e para o Guardian como a Cambridge Analytica fez uso das informações.
20 de março de 2018 – O governo americano anuncia investigação do Facebook e da Cambridge Analytica.
A Federal Trade Commission, agência do governo americano de defesa dos direitos do consumidor, quer saber se o Facebook rompeu os termos de um acordo fechado em 2011 com a agência. O acordo diz respeito à proteção da privacidade dos usuários. Congressistas americanos também querem que o CEO do Facebook, Mark Zuckerberg, deponha perante o Congresso.
21 de março de 2018 – Zuckerberg rompe o silêncio e anuncia uma nova ferramenta que permite revogar permissões de acesso aos dados previamente concedidas a apps.
“Temos a responsabilidade de proteger seus dados e, se não formos capazes, não merecemos lhe servir. Venho trabalhando para entender exatamente o que aconteceu e para garantir que isso não aconteça de novo”, disse ele num post.
Zuckerberg anunciou que o Facebook não vai mais permitir que desenvolvedores de apps acessem as informações dos usuários depois de três meses de inatividade. A quantidade de informações entregue aos desenvolvedores também será reduzida, e será realizada uma auditoria de todos os aplicativos que tiveram acesso a grandes quantidades de informações antes de 2014, quando a plataforma reduziu dramaticamente os dados compartilhados com terceiros.
O que você pode fazer agora se estiver preocupado com seus dados: revise as definições relativas a aplicativos de terceiros (veja mais detalhes aqui) e preste atenção ao módulo “aplicativos usados por outros”.
Este post foi traduzido do inglês.