Das 17 plataformas mais populares do Brasil, oito raspam informações da internet, que incluem dados pessoais dos brasileiros, e só duas respondem o que sabem sobre as pessoas que não estão cadastradas. As demais só informam quais dados coletam do cidadão se a pessoa usar o seu produto.
Essa foi uma das conclusões de um estudo conduzido pelo Centro de Tecnologia e Sociedade (CTS) da FGV no Rio de Janeiro, que testou as redes sociais e aplicativos de mensagens de maior uso no país. Só LinkedIn e TikTok responderam aos pesquisadores quais informações pessoais haviam obtido com mineração de dados, enquanto Instagram, Facebook, Threads, Reddit, X (ex-Twitter) e YouTube se omitiram.
O uso de informações de pessoas não cadastradas nas plataformas foi alvo de preocupação da ANPD (Autoridade Nacional de Proteção de Dados) quando a Meta anunciou que usaria conteúdos públicos das redes sociais para treinar modelos de inteligência artificial.
Para derrubar uma medida preliminar do regulador, a Meta acrescentou um formulário para que as pessoas não cadastradas em suas plataformas pudessem pedir que seus dados não fossem usados nos modelos de IA.
Porém, o professor da FGV Direito Luca Belli, que pesquisa proteção de dados e soberania digital, afirma que o conglomerado de redes sociais ainda fica além do que determina a LGPD (Lei Geral de Proteção de Dados Pessoais). Os titulares de dados têm o direito de saber como e com qual finalidade suas informações foram usadas.
A Meta afirmou que não iria comentar. Reddit, YouTube e X não responderam até a publicação desta reportagem.
A ausência de etapas de pré-tratamento adequadas para a eliminação ou anonimização de dados pessoais possibilita a existência de riscos significativos relacionados ao tratamento indevido de dados, afirmou o regulador. “Os riscos apresentam agravantes nos casos que incluem o tratamento de dados pessoais sensíveis e dados de crianças e adolescentes.”
Grupos de influência ligados às empresas de tecnologia, por outro lado, dizem que o Brasil já tem uma das leis mais restritivas do mundo em relação à mineração de dados, em um cenário marcado por insegurança jurídica por falta de clareza da lei.
O relatório “Redes Sociais e LGPD”, do CTS, avaliou se as redes sociais estavam adequadas à legislação brasileira sob 16 critérios objetivos. Nenhum dos 17 sites avaliados tirou nota máxima.
As avaliações apresentadas no relatório foram feitas entre maio de 2024 e julho do mesmo ano. Desde então, houve atualizações, como a identificação da pessoa responsável pelo tratamento de dados por Meta, X, Telegram e YouTube.
Quando os pesquisadores fizeram o levantamento, nenhuma plataforma identificava o chamado encarregado de dados, como determina o artigo 41 da LGPD —todas apenas indicavam um email de contato. Essa figura é importante porque é quem deve responder aos contatos dos usuários e às demandas judiciais envolvendo proteção de dados.
Outra inadequação constatada na maioria das plataformas foi a falta de indicação adequada do uso de decisões automatizadas, um conceito criado pela LGPD para indicar qualquer escolha baseada em algoritmos de análise de dados e sem intervenção humana. Só LinkedIn e Telegram estão adequados à lei, na avaliação da FGV. As plataformas da Meta e o X tiveram pontuações parciais.
O pior desempenho foi o da plataforma Signal, app cuja premissa é armazenar o mínimo possível de dados de forma criptografada. A entidade sem fins lucrativos que administra o aplicativo não respondeu às mensagens dos pesquisadores.
“A política de privacidade do Signal é incrivelmente minimalista e distante dos padrões cobrados pela lei brasileira”, disse Belli. “Como eles dizem não armazenar nenhum dado, para que eles se deram o mandato de não precisar respeitar a lei.”
Procurado, o Signal não respondeu à publicação da reportagem.
Apesar das falhas apontadas, a melhor avaliação foi a da Meta, que obteve 12,5 dos 16 possíveis. “As medidas de conformidade têm um preço para serem cumpridas, e as empresas maiores têm uma vantagem nesse sentido”, diz o responsável pela pesquisa.
Para equilibrar essa disparidade, a ANPD usa um método de análise de risco que considera o número de usuários da plataforma e o risco que o vazamento dos dados tratados pela empresa representa. As milhões de pessoas cadastradas, incluindo menores de idade, foram motivos quando, por exemplo, o regulador brasileiro proibiu que a Meta usasse dados de brasileiros no desenvolvimento de IA —decisão que foi revertida três meses depois.
O professor da FGV ainda destacou como surpresa positiva o bot de Telegram LGPDBot, que repassa aos titulares de dados a quais informações o app de mensagens teve acesso. Também disse que a política de privacidade do X é surpreendentemente didática, com tabelas claras e diagramas sobre o uso de dados.
