Meu Kindle chegou, tirei da caixa, abri e a primeira mensagem que vejo na tela é meu nome e uma informação de que ele já estava conectado ao wi-fi, considerando que estes dados (senhas) já são conhecidos dos serviços Amazon.
É assustador e ao mesmo tempo intrigante saber que a senha do seu wi-fi, talvez fornecida à Alexa ou outro dispositivo, foi compartilhada com o novo aparelho – ao ligá-lo – que automaticamente se conectou à rede, logicamente, tendo acesso a outros dispositivos.
É mais comum do que parece as gigantes da tecnologia usarem “políticas de privacidade mãe”, genéricas, e termos específicos para seus dispositivos ou produtos. E é lógico que a assimetria é evidente, pois assim como muitos, não me lembro quando “consenti” com o compartilhamento de dados com dispositivos amazon.
Poderíamos empregar energia para enquadrar as atividades da gigante no legítimo interesse, embora saibamos que muitas gigantes confiam no consentimento, pois sabem que ele é mais fácil de ser arrancado das pessoas, graças aos dark patterns e bad defaults.
Ao conceituar uma taxonomia da privacidade, Daniel Solove propõe a importante classificação das violações à privacidade em quatro grandes eixos, coleta de dados, processamento de dados, compartilhamento de dados e invasões. Na categoria invasões chegamos à importantíssima interferência decisional, decisional interference. Nada mais é do que um ataque à autonomia e autodeterminação. Condutas que interferem no processo de decisão do indivíduo no que diz respeito aos assuntos de privacidade.
A interferência decisional pode se dar, hoje, por meio de padrões escuros, técnicas embutidas na programação e interface de plataformas, aplicações e dispositivos, e que reduzem a capacidade do titular de dados de proteger seus dados pessoais. Information Zuckering, a exemplo, é o nome dado a manipulações que usam processos complexos para obter os dados do titular. A técnica pode estar aliada a Bad Defaults, que como visto, são configurações padrão menos protetivas, arquitetadas em high level design no escopo de manipular os usuários, que sequer percebem os riscos do que estão compartilhando, em termos de dados pessoais.
Mas o principal dark pattern adotado pelas gigantes tech são as estipulações ocultas (hidden stipulation), ocultando maliciosas estipulações e cláusulas que dificilmente serão notadas, quer pela linguagem, quer pelo design (normalmente em telas de difícil leitura) arquitetado para que pessoas não tenham acesso claro às disposições e concessões que serão feitas com o clique no botão “Avançar”.
Ao compartilhar a senha wi-fi com outro dispositivo, sem qualquer aviso, pressupõe um tratamento não claro. E ao não dar escolha ao usuário em um design que ou se avança ou não se usa o dispositivo, e sem qualquer link com as normas que sugere no aviso, percebe-se não só violação a princípios de proteção de dados, mas uma violação de interferência decisional, por meio de padrões nocivos a titulares de dados e estipulações ocultas.
Empresas devem se afastar destes padrões ajudando usuários a entenderem como seus dados serão usados e compartilhados, destacando práticas nas políticas com implementações de avisos just-in-time sobre o UX do sistema. Pode-se considerar, por exemplo, quanto ao timing, avisos persistentes, sempre que um dispositivo iniciar o tratamento de algum dado pessoal ou mesmo compartilhá-lo com outro dispositivo.
No mundo digital, a privacidade do usuário é um aspecto crucial do design UX, e é justamente por isso que para garantir que sites e aplicativos mantenham a privacidade dos usuários, os designers devem adotar as melhores práticas que protejam os dados e transfiram maior confiança ao seu público, como políticas de privacidade claras e transparentes, minimização da coleta de dados, anonimização e pseudonimização e controle do usuário sobre os seus dados.
Uma política de privacidade facilmente acessível é essencial para qualquer site ou aplicativo e deve ser clara e detalhada em como os dados dos usuários são coletados, usados e compartilhados. Além disso, a política de privacidade deve estar exposta em um local de destaque para garantir que os usuários os encontrem facilmente , como o menu principal do aplicativo ou o rodapé do site, dando a opção dos titulares dos dados a revisarem, acrescentar ou excluir informações que não gostariam de serem compartilhados.
Ao minimizar a coleta de dados dos usuários, os riscos de violações de dados e uso indevido é reduzido significativamente, por isso se deve coletar apenas os dados essenciais de seus usuários.
As técnicas de anonimização e pseudonimização consistem em uma abordagem usada para proteger a privacidade do usuário removendo e substituindo informações de identificação pessoal por dados não identificáveis, garantindo que, mesmo que uma violação de dados ocorra, as informações expostas não sejam rastreadas até seus titulares.
Tal reflexão é apenas uma gota em um mar de tratamento irregular de dados que é garantido pela manipulação do consentimento, com uso de técnicas perigosas “dark patterns”, e que também se aproveitam da falta de fiscalização a este nível, considerando que muitas autoridades ainda se contentam com formulários de perguntas e respostas, acreditando nos esclarecimentos prestados por grandes agentes de tratamento.
A engenharia de privacidade deve desempenhar seu papel essencial neste cenário, por meio de revisão de design e códigos (high e low level), testes de usabilidade para privacidade, bem como zelando para a adoção de Privacy by Design Strategies, como minimizar, ocultar, abstrair e principalmente, apresentar o “enforce”, no sentido de que o tratamento de dados se dê de modo “privacy friendly”, sempre, zelando-se para que o cumprimento das políticas possam ser demonstrados, por meio de logs de atividades de processamento, auditorias independentes e outras estratégicas técnicas.
Fale conosco
Tem dúvidas? Envie seu comentário ou sugestão para [email protected] e não se esqueça de se inscrever no Youtube (http://www.youtube.com/josemilagre) ou pelo instagram (@dr.josemilagre).
JM Advocacia: www.direitodigital.adv.br Instragram: @direitodigital.adv.br
José Milagre & Advogados
É um dos nomes mais lembrados no Brasil na advocacia de direito digital e crimes cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts, especializada em investigação forense de fraudes e golpes online e com criptomoedas. Advogado e Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós-graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.