App de caricaturas deixa rastro de dúvidas sobre privacidade
Uma moda recente nas redes sociais é converter fotos de rosto em imagens que lembram as animações do estúdio Pixar – é como se as pessoas se tornassem por um instante os brinquedos de Toy Story. A brincadeira é feita por meio do ToonMe, um app gratuito presente desde 2016 nas lojas de aplicativos da Apple e do Google. Apesar de divertido, a ferramenta deixa um rastro de perguntas sem respostas em relação à privacidade do usuário – algo que se torna mais preocupante quando considerado ela recolhe fotos de rosto.
É uma situação que reprisa a mania do FaceApp, o aplicativo russo que “envelhecia” rostos e que tinha diversas brechas nos termos de uso. Curioso é que o ToonMe também tem origem russa: embora a página no LinkedIn da Linerock Investments Ltd. (empresa que aparece como dona da pho.to, estúdio responsável pelo ToonMe) indique que a sua sede seja em São Francisco, EUA, seu fundador, Victor Sazhin, nasceu na Rússia.
Antes mesmo do caso do FaceApp, muita gente já estava atenta sobre como funciona o modelo de negócios de muitas empresas que oferecem serviços gratuitos na web: enquanto você se diverte, a companhia recebe os seus dados para explorá-los comercialmente. Como no FaceApp, muitas práticas estão expressas nos termos de uso. Mas vale também prestar atenção naquilo que não está escrito: o aplicativo entrega dados aos anunciantes, mas não especifica quais são essas informações e como elas são protegidas. Também deixa dúvidas sobre como rastreia seus usuários e sobre a utilização de informações de seus contatos, mesmo que não tenham dado consentimento para isso.
Logo no começo, os termos indicam o que é coletado: nome, endereço de e-mail, nome de usuário e informações de redes sociais. Sem especificar do que trata, o termo também diz que recolhe “outras informações que você nos fornece quando se cadastra, cria uma conta, contata-nos por e-mail ou utiliza nossos serviços”. “Para um serviços que ‘edita fotos’, ele coleta muitos dados que, em teoria, não precisaria utilizar”, explica a pesquisadora Nina Da Hora.
Na sequência, ela aponta outro ponto problemático, que fala sobre o cruzamento de informações entre o que foi cedido ao app e aquilo que está disponível em outras plataformas. “Também poderemos obter informações de outras empresas e combiná-las com as informações que recolhemos sobre os serviços; por exemplo, quando você vincula sua conta ao Facebook, poderemos ter acesso ao seu nome e à sua foto de perfil”. Dessa maneira, a empresa consegue construir um perfil bastante completo a respeito dos usuários.
Ao acessar o site do app, ele também recolhe o tipo de navegador, o idioma do navegador, o horário do acesso, sistema operacional do computador e a utilização e atividades no site. O serviço diz que “essas informações são usadas apenas para nos ajudar a prestar um serviço eficaz”. Para Bruno Bioni, fundador e professor do Data Privacy Brasil, há problemas aqui também. “Eles não deixam claro a finalidade do processamento de tais dados pessoais. Não parece razoável que a coleta do “endeço de IP” possa, à primeira vista, ser um fator de melhoria do serviço”, diz.
Problema de consentimento
Na visão dos especialistas, o app é bastante problemático no que diz respeito à obtenção de permissões dos usuários para que seus dados sejam coletados e utilizados. Esse é um dos principais pontos da Lei Geral de Proteção de Dados (LGPD).
O ToonMe, por exemplo, recolhe informações dos seus contatos, mesmo que eles não saibam disso. “Poderemos recolher informações sobre outras pessoas se você utilizar nossos serviços para fazer upload, compartilhar e/ou distribuir conteúdo que contenha informações sobre elas, incluindo nome, imagem e dados de contato on-line”, diz o documento.
“Eles supõe que ao baixar o aplicativo, o usuário já aceita todas essas condições. Eles não têm etapas para que possamos aceitar de fato os termos”, explica Nina.
“O app aparentemente aponta que utiliza a base legal do ‘consentimento’ para acessar e armazenar os conteúdos do usuário. Ele, porém, não aponta o período de utilização e meios para se opor a esse tipo de tratamento. Não são esclarecidos os meios para identificar se esse consentimento foi fornecido de forma livre, informada e inequívoca”, explica Bioni.
As brechas nas permissões se tornam mais graves pelo fato de que o ToonMe coleta fotos de rosto, informações classificadas como sensíveis pela LGPD. “Nesse caso, o consentimento precisa ser obtido de forma específica e destacada, para finalidades específicas e determinadas. Apesar de apontar a finalidade da utilização do reconhecimento facial e o tempo de retenção dos dados, não fica clara a base legal utilizada”, explica Bioni.
“O ToonMe não mostra onde e como essas fotos ficam armazenadas. Pode estar sendo criada uma base de dados de rostos que não temos como incidir, pois não sabemos para onde essas informações estão indo”, lembra Nina.
Mais questões
Como a maioria dos serviços online, o ToonMe instala cookies, pequenos arquivos que rastreiam alguns hábitos e atividades na internet, nos dispositivos dos usuários. Há, porém, algumas interrogações nos termos de uso sobre como o pho.to faz isso.
“Não fica claro se existe uma página de gerenciamento de cookies, o que nos faz presumir que há a coleta de todas as espécies de cookies por padrão, sem possibilitar ao usuário oposição ou ingerência nas configurações”, explica Bioni. Ele também aponta para o seguinte trecho no documento: “Não temos nenhum controle sobre os cookies que nossos anunciantes ou parceiros de marca possam usar”. Para ele, isso torna a política de cookies ainda mais duvidosa.
Além de não esclarecer o que coleta, o ToonMe também não deixa claro com que compartilha essas informações. O documento diz: “Poderemos compartilhar suas informações pessoais (e informações não pessoais) com terceiros para veicularmos anúncios relevantes e comercializarmos nossos produtos, mas não venderemos suas informações pessoais.”
Para Bioni, não fica claro qual a base legal utilizada a prática. “O fato de não vender informações pessoais não é um esclarecimento suficiente. É necessário maiores detalhes sobre a operação”, diz ele.
Já Nina aponta que o aplicativo também não fala o que acontece com os dados de seus usuários caso a empresa seja vendida. “Uma prática muito comum desses apps é que eles coletam dados, crescem e depois são vendidos para outras empresas. É preciso saber o que acontece com as nossas informações”, diz Nina.
A política de privacidade tem um e-mail contato onde os usuários podem pedir alterações naquilo que é coletado. “Não fica claro as preferências de privacidade a serem modificadas, tendo em vista que ao longo da política são estipulados alguns termos impositivos, inclusive naquilo que está relacionado aos cookies.
Por fim, o documento termina dizendo: “Se acreditarmos que alguma modificação feita nesta Política de Privacidade altere substancialmente os seus direitos, publicaremos a política mais recente neste site. Recomendamos a revisão desta Política de Privacidade sempre que você visitar os Serviços para entender como suas informações pessoais são utilizadas”. Faltam informações novamente.
“Publicar a política mais recente no site, não aparenta ser uma prática adequada, considerando que o titular teria que ativamente entrar no site e verificar se houve alguma modificação”, diz Bioni.
A reportagem entrou em contato com pho.to pelo e-mail disponibilizado em seu site, mas não teve resposta até a publicação deste texto.