Numa época em que as pessoas passaram a fazer quase todas as atividades em meio digital, um aplicativo de videoconferência tornou-se a plataforma social da era do coronavírus. Com escolas fechadas e milhões de pessoas trabalhando de casa, o Zoom se tornou enormemente popular. Trata-se de um aplicativo muito funcional, porque permite criar salas privadas e dezenas de pessoas se plugarem na sala virtual ao mesmo tempo. O recurso é útil para garantir que apenas convidados entrem na reunião on line, impedindo participação de usuários que não foram convidados. O aplicativo é fácil de usar e de rápida instalação.
As pessoas estão usando o Zoom não somente para ministrar conferências e aulas de cursos regulares, realizar encontros de negócios, sessões de terapia, consultas médicas, reuniões familiares, aulas de ginástica e de música, mas até para “festas virtuais” ele tem sido utilizado. O aplicativo tornou-se importante ferramenta para escolas, escritórios, comunidades e grupos de amigos, que o utilizam como instrumento para sociabilização ou simplesmente para atenuar as agruras do isolamento social.
O aplicativo foi lançado em 2011 como ferramenta de videoconferência para o setor de negócios. Contava com cerca de 10 milhões de usuários em todo o mundo no final de dezembro de 2019, entre usuários gratuitos e os que assinam algum plano pago do serviço. Durante o mês de março deste ano, como resultado da pandemia da Covid-19, o Zoom tornou-se praticamente onipresente, pois se difundiu extensamente e deixou de ser aplicativo restrito ao mundo dos negócios. Desde 18 de março é o aplicativo mais baixado na App Store e na Google Play, tendo alcançado a marca de 200 milhões de usuários1. Nas últimas semanas, mais de 90 mil escolas em 20 países adotaram o Zoom como plataforma de ensino a distância.
O lado negativo do crescimento desmesurado logo se fez sentir. Defeitos de segurança apareceram na mesma proporção da disseminação do Zoom. Diversos bugs e falhas na arquitetura do aplicativo permitiram exploração das brechas por hackers, que tiveram acesso a dispositivos dos usuários2. As vulnerabilidades da ferramenta de videoconferência foram exploradas por invasores, que conseguiram acessar a câmera e o microfone de usuários e conteúdos das reuniões realizadas na plataforma. Uma nova forma de ataque virtual emergiu da crise de insegurança do Zoom, com direito a neologismo - “Zoombombing”, a prática utilizada por hackers de entrar numa sala virtual, apoderar-se dos comandos e postar conteúdos ilícitos, como material racista, preconceituoso ou pornográfico, como forma de constranger e chocar os demais participantes3.
Diversos outros problemas e escândalos surgiram nas últimas semanas, e as pessoas começaram a se perguntar que tipo de dados o aplicativo coleta e o que faz com as informações dos usuários. Uma enxurrada de críticas emergiu, com acusações sobre medidas de segurança inadequadas, ausência de criptografia e uma política de privacidade que permitia compartilhamento com terceiros.
Milhares de vídeos gravados com a plataforma Zoom foram encontrados na web, expostos sem proteção. Os vídeos incluíam conteúdo íntimo e altamente sensível, como encontros de negócios, sessões de terapia e até mesmo cenas de nudez4. Uma análise do The Intercept revelou que as comunicações por vídeo na plataforma não são criptografadas de ponta a ponta, ao contrário do que seu site e seu white paper de segurança proclamavam. Em seguida, descobriu-se que o aplicativo enviava informações para o Facebook, sem que os usuários tivessem sido previamente alertados.
O fundador e CEO da empresa Zoom Video Communications Inc., Erin Yuan, pediu desculpas públicas5 e prometeu resolver os problemas6. Algumas medidas adicionais de segurança já foram adotadas7, e a empresa está trabalhando na implantação de um sistema de criptografia.
Isso, contudo, não foi suficiente para estancar os prejuízos à imagem da empresa e do seu produto, iniciando-se um processo de reversão da popularidade do aplicativo. Diversas empresas e órgãos públicos, em várias cidades e países, proibiram a utilização do Zoom. A Google, ciente das falhas de segurança do aplicativo, impediu seus empregados de instalar o aplicativo em seus equipamentos. A SpaceX e a Tesla, companhias do bilionário Elon Musk, o Departamento de Educação da cidade de Nova York e Taiwan também bloquearam a instalação da plataforma, temendo que seus funcionários tivessem reuniões espionadas8.
A empresa ainda enfrenta problemas de outra ordem, submetida a procedimentos investigativos.
A Procuradora Geral do Estado de Nova York (EUA), Letitia James, abriu investigação para escrutinar as políticas de segurança e privacidade adotadas pela Zoom Video Communications Inc. em relação ao aplicativo. Numa carta enviada no dia 30 de março, requereu informações sobre como estão sendo implementadas as novas medidas de segurança, para lidar com o enorme aumento de uso do aplicativo e proteger contra invasões de hackers9.
No Brasil, a Agência Nacional de Vigilância Sanitária (Anvisa), órgão vinculado ao Ministério da Saúde, proibiu a instalação do aplicativo nos computadores internos da agência10. No dia 08 deste mês, o Ministério da Justiça e Segurança Pública, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC), da Secretaria Nacional do Consumidor (SENACON), abriu investigação formal contra a empresa controladora do aplicativo Zoom. O DPDC quer esclarecer pontos sobre o compartilhamento de dados com o Facebook e notificou a empresa para prestar esclarecimentos11.
Um dos aspectos que mais influenciou a abertura de procedimentos investigados contra a empresa que desenvolve o Zoom foi a revelação de que o aplicativo repassava informações dos seus usuários ao Facebook. Não somente porque esse ponto revelou conduta antiética da empresa, mas em razão de que a simples menção de o Facebook estar envolvido no problema é suficiente para despertar elevados temores quanto à privacidade dos usuários. O Facebook esteve no centro de alguns dos maiores escândalos de invasão de privacidade e uso indevido de dados pessoais nos últimos tempos. Não custa lembrar o caso da Cambridge Analytica, empresa que recebia dados compartilhados pelo Facebook e os utilizava para outras finalidades, sobretudo para influenciar resultados de eleições em diversos países.
Antes de definir a responsabilidade da empresa responsável pelo Zoom e também do Facebook, pelo compartilhamento indevido dos dados dos usuários, é preciso entender um pouco melhor como funciona o aplicativo e como questões relacionadas à privacidade se encontram tão envolvidas com o seu funcionamento.
A preocupação com a privacidade dos usuários em relação a aplicativo como o Zoom, que permite videoconferências, é inata ao seu funcionamento. Todas as conversas podem ser gravadas, mensagens transcritas, arquivos enviados são copiados, documentos armazenados e tudo o que as pessoas distribuem durante os encontros virtuais pode ser visto e replicado. Além disso, os nomes das pessoas que participam dos encontros ficam registrados. O “anfitrião do encontro” (meeting host) também obtém informações e pode compartilhá-las. Não é apenas a empresa que desenvolve o Zoom que coleta informações pessoais dos usuários. A arquitetura do aplicativo permite que o anfitrião (host) do encontro – o usuário que faz o cadastro e agenda a reunião virtual – também fique em poder de um grande volume de dados. Ele pode gravar a conferência, transcrevê-la automaticamente e compartilhar os vídeos e informações com pessoas que não estejam na sala do encontro virtual (meeting room)12. Quando o encontro é gravado, o anfitrião tem a opção de armazenar o material no seu próprio dispositivo (terminal de acesso) ou na nuvem (cloud) da empresa.
Como se percebe, a preocupação com a privacidade dos utentes de um aplicativo de videoconferência é extrema, devido à grande variedade e volume de informações coletadas e que, se utilizadas inadequadamente, podem causar estragos enormes à esfera dos direitos da personalidade dos indivíduos.
No caso do compartilhamento de dados com o Facebook, o problema estava na falta de informação sobre esse aspecto do funcionamento do aplicativo. A empresa controladora da plataforma Zoom não informava aos usuários que partilhava seus dados com a rede social nem qual uso esta última poderia fazer com os dados repassados.
A prática foi descoberta após o site Motherboard publicar análise da versão do aplicativo para o sistema operacional iOS13. De acordo com a publicação, após o usuário fazer o download e instalar o app, ele se conecta à SDK do Facebook, que vem a ser a porta de entrada e saída de dados da rede social. O SDK (Software Development Kit)14 é uma das ferramentas de negócios que a Facebook Inc., empresa que controla a rede social, fornece a seus parceiros. As “ferramentas de negócios” são tecnologias que o Facebook oferece a proprietários e editores de sites, programadores de aplicativos e empresas com as quais tem algum tipo de parceria. Essas tecnologias facilitam a integração dos aplicativos e sites parceiros com o Facebook, permitindo troca de dados, compreensão do funcionamento e medição da atividade dos produtos dos parceiros15.
Após a prática ilícita ser descoberta, a companhia atualizou o aplicativo Zoom, removendo o SDK do Facebook16, que o conectava à rede social17. Em nota publicada em 27 de março, a empresa explicou que implementou a configuração de “login com o Facebook” usando o Facebook SDK para iOS de modo a fornecer aos usuários um modo simples e conveniente de acesso à plataforma. Todavia, ao tomar conhecimento (naquele dia) de que o SDK coletava informações desnecessárias ao funcionamento do aplicativo, decidiu removê-lo no cliente iOS. Explicou ainda que, para essa mudança ter eficácia, é necessário que os usuários façam atualização do aplicativo para a versão mais nova18. A Zoom Video Communications Inc. afirmou que nenhuma informação pessoal era repassada, apenas dados sobre o aparelho, versão do sistema operacional, horário dos logs, operadora utilizada, modelo do dispositivo, tamanho da tela, poder de processamento e espaço de armazenamento19.
Apesar de ter providenciado a desinstalação ou reconfiguração do SDK, essa providência não isenta a Zoom Video Communications Inc. pelos danos causados aos titulares dos dados indevidamente compartilhados. Da mesma forma, a Facebook Inc. responde solidariamente, por ter feito uso de dados repassados sem autorização dos titulares.
Dois aspectos desfavorecem ambas as empresas. O primeiro reside na ausência de informação adequada aos usuários do aplicativo Zoom, que não tinham conhecimento de que seus dados eram repassados para o Facebook. O segundo diz respeito à questão da qualidade dos dados compartilhados, que não se resumiam a simples “metadados”, como alegado.
A política de privacidade do aplicativo Zoom não informava que sua versão iOS enviava dados para o Facebook, mesmo daqueles usuários que não tinham conta na rede social. A política de privacidade do Zoom era muito ampla, quase sem limites, permitindo que coletasse dados dos usuários praticamente de forma ilimitada20. O Zoom coletava informações pessoais de seus usuários e não fornecia qualquer detalhe sobre como os dados eram usados para publicidade, marketing e outros propósitos comerciais. Vídeos, anotações e qualquer tipo de gravação de voz poderiam ser armazenados e até compartilhados com terceiros não integrantes dos encontros virtuais.
Somente após a publicação de um artigo na Consumer Reports21, em 24 de março, é que a empresa decidiu fazer ajustes na sua política de privacidade22. Num anúncio publicado no dia 29 de março, a empresa confirmou que atualizou sua política de privacidade para dar mais transparência sobre que tipo de dados coleta e qual uso faz da informação coletada. Enfatizou que não vende os dados que recolhe nem monitora o conteúdo dos vídeos dos encontros realizados por meio de sua plataforma. Informou que coleta basicamente informações técnicas, como endereço IP do usuário e detalhes do seu dispositivo. Informou ainda que, a não ser que o anfitrião (host) faça gravação dos arquivos de vídeo, áudio e das conversas (chats) trocadas durante um encontro (teleconferência), ela não armazena esse material23. Enfatizou que “nenhum dado relativo à atividade do usuário na plataforma Zoom – incluindo vídeo, áudio ou conteúdo de chat – é fornecido a terceiros para fins de publicidade”24.
A alteração tardia da política de privacidade não faz desaparecer a responsabilidade da empresa. Para compartilhar dados, é indispensável que o controlador de um sistema informático obtenha consentimento do titular. A empresa que controla o Zoom tinha consentimento para coleta dos dados, necessários ao funcionamento do aplicativo. O consentimento fora obtido exclusivamente para essa finalidade. Se o processamento dos dados foi autorizado apenas para uma finalidade específica, não poderiam ser utilizados para objetivos diversos. Se a empresa obteve consentimento dos usuários para tratamento de seus dados pessoais em atividade determinada, não poderia utilizá-los para outros propósitos, muito menos compartilhá-los com terceiros para finalidades estranhas à informada ao titular dos dados no momento em que o consentimento fora solicitado. O operador ou controlador que necessitar comunicar ou compartilhar dados pessoais com terceiros deve obter consentimento específico do titular dos dados para esse fim, sob pena de ofensa ao princípio da finalidade. Esse princípio obriga a que qualquer atividade de tratamento de dados tenha fim específico, previamente informado ao titular, sem possibilidade de tratamento posterior de forma diversa da finalidade anunciada. O controlador que consegue consentimento para utilizar dados pessoais com exclusividade, mas depois necessita comunicar ou compartilhar os dados com outros controladores, tem que obter novo consentimento específico do titular para esse fim.
O princípio da finalidade, um dos que caracterizam o tratamento de dados legítimo, foi incorporado ao nosso ordenamento jurídico pelo art. 7º., inc. VIII, alíneas a a c, da Lei n. 12.965/14 (“Marco Civil da Internet”). A Lei Geral de Proteção de Dados (LGPD - Lei n. 13.709/18) também consagra o princípio da finalidade como uma das condições para a licitude da atividade de tratamento de dados (art. 6º., I)25. Embora a LGPD só entre em vigor em agosto, seus preceitos já servem como baliza norteadora da legitimidade de qualquer atividade que implique utilização de dados pessoais.
O compartilhamento de dados pessoais sem conhecimento do titular ofende outras regras e princípios do sistema normativo, a começar pelo dever de informação que é atribuído a todo fornecedor, nas relações de consumo (arts. 4º, IV, e 6º., II e III, do CDC – Lei 8.078/90). O dever de informação se traduz num dever de aviso e esclarecimento, no sentido de que o sujeito que se encontra informado sobre um fato que tenha influência no consentimento da outra tem obrigação de prestar os devidos esclarecimentos. Compartilhamento de dados não consentido também constitui prática comercial abusiva (art. 39. do CDC), já que a omissão quanto à repartição dos dados é forma enganosa de atrair o consumidor - que quando tem conhecimento prévio do compartilhamento, geralmente não adquire o produto.
A jurisprudência brasileira é no sentido de que o compartilhamento de informações sem prévio conhecimento e autorização do consumidor (titular dos dados) gera o direito à indenização por danos morais. Esse entendimento ficou assentado em caso recente, julgado pela 3ª. Turma do Superior Tribunal de Justiça, que condenou um gestor de banco de dados a indenizar um consumidor pela comercialização indevida de informações pessoais. Para a Corte Superior, o fato de as informações serem fornecidas pelo consumidor no ato de uma compra ou até mesmo divulgadas em redes sociais não afasta a responsabilidade do gestor de previamente comunicar seu compartilhamento. A relatora do recurso (REsp n. 1758799-MG)26, Ministra Nancy Andrighi, afirmou que, na hipótese de compartilhamento de informações sem prévia anuência, o dano moral é presumido, sendo desnecessário ao consumidor comprovar prejuízo. Esse julgamento se deu em torno da interpretação do inc. V do art. 5º. da Lei 12.414/11, que disciplina os bancos de dados para formação de histórico de crédito, mas não há dúvida de que pode ser aplicado, ainda que por analogia, a qualquer hipótese de compartilhamento não autorizado de dados pessoais, que estejam em poder de um controlador de sistema informatizado ou não.
Quem recebe os dados compartilhados indevidamente é igualmente responsável pela reparação devida aos titulares. Se o coletor original das informações não tem o direito de compartilhá-las, muito menos tem o controlador destinatário de fazer uso delas, pela mesma razão de falta de autorização dos titulares. O princípio da finalidade resta desrespeitado pelo receptor dos dados de todo modo, já que os utiliza para outras finalidades, não autorizadas pelo titular. Compartilhamento de informações sem consentimento é ilegal. A ilegalidade se estende ao uso posterior dos dados transferidos sem o conhecimento do titular.
O Facebook tentou se livrar de responsabilização, no caso dos dados recebidos do Zoom, alegando que é dever das empresas que utilizam seu kit de desenvolvimento (SDK) informar aos usuários que estão compartilhando os dados com a plataforma, além de fornecer opção para desativar o compartilhamento27. Esse argumento não procede, pois cabe ao Facebook o dever de vigilância sobre os parceiros, de forma a evitar responsabilização por uso indevido de dados pessoais. A plataforma é o principal responsável pelo ressarcimento dos danos que ocorrem dentro do seu ecossistema, de desenvolvimento de aplicativos que utilizam suas “ferramentas de negócios” e outras tecnologias. Na condição de agente que controla a ferramenta central e os componentes que fazem funcionar esse “ecossistema”, emerge como principal responsável pela reparação de danos à privacidade individual (do usuário). O dever de monitorar a atividade e comportamento dos aplicativos com os quais estabelece parceria ou tem algum tipo de integração tecnológica é da plataforma, até porque se reserva esse direito nos instrumentos contratuais que estabelece com as empresas parceiras. No documento “Termos de Uso” de suas “ferramentas de negócios”, o próprio Facebook se concede o direito de realizar auditoria sobre a atividade dos aplicativos de empresas parceiras, desse modo: “Reservamo-nos o direito de monitorizar ou fazer auditorias ao teu nível de conformidade com os presentes Termos das Ferramentas de Negócios”28. Se nos acordos que celebra com seus parceiros o Facebook atribui-se o direito de supervisão sobre a atividade deles, ninguém mais do que ele próprio deve responder em caso de acidente ou desvio de conduta do outro contraente.
Não somente “metadados” eram transferidos por meio da integração (via SDK) entre o Zoom e o Facebook. A transferência de dados proporcionada pela ferramenta SDK não só tem o objetivo de permitir que o Facebook faça medição e compreensão da atividade do aplicativo parceiro, mas também o de identificar comportamentos que lhe permitam direcionar publicidade para os usuários. Com as informações que recebe sobre o funcionamento e atividade de aplicativos de programadores parceiros, o Facebook entrega aos seus anunciantes um perfil dos usuários, para que direcionem comerciais de produtos com base no interesse deles (usuários dos aplicativos parceiros). A configuração básica do SDK já inclui “um identificador de propaganda para que anunciantes direcionem comerciais de produtos com base no interesse dos usuários”. Esse identificador é padrão para os parceiros do Facebook, que utilizam o seu SDK29.
No documento “Termos de Uso” de suas “ferramentas de negócios”, está escrito que o parceiro comercial (controlador de um app ou site) aceita partilhar dados pessoais com o Facebook. O mesmo documento esclarece que os dados pessoais transferidos por meio das “ferramentas de negócios” (que incluem SDKs) são os dados dos clientes e utilizadores de aplicações (sites ou apps), denominados de “Dados do Cliente”, que podem incluir informações de contato, aquelas que identificam pessoalmente os usuários (como nomes, endereços de e-mail e números do telemóvel), e dados de eventos, que são outras informações sobre os usuários e as ações que realizam dentro ou utilizando o aplicativo ou site parceiro (como visitas, início de sessões e compras dentro de aplicativos)30.
Tal documento é uma espécie de contrato de adesão, ao qual o parceiro de negócios adere sem poder de discussão ou modificação das cláusulas preestabelecidas. Forçosamente, o parceiro é obrigado a repartir informações pessoais dos usuários de seu aplicativo ou site com o Facebook, a partir do momento em que instala a “ferramenta de negócios” que permite integração com a plataforma. Não tem como fugir do compartilhamento de dados que é imposto de forma unilateral.
Como se percebe, o compartilhamento de informações do Zoom para o Facebook envolveu dados pessoais, em grande volume e provavelmente durante muito tempo.
Essa não é a primeira vez em que o Facebook se vê no meio de denúncia de invasão de privacidade por causa da ferramenta SDK. Em fevereiro de 2019, o The Wall Street Journal publicou reportagem indicando que aplicativos compartilhavam informações sensíveis com o Facebook, através de um mecanismo analítico incluído no SDK31.
Essa última ocorrência - recebimento de forma irregular de dados enviados pelo aplicativo Zoom - tem o mesmo potencial do escândalo da Cambridge Analytica. Trata-se de compartilhamento massivo de dados sensíveis (e sem conhecimento dos usuários), só que em sentido inverso. Naquele outro acontecimento, era o Facebook que repassava dados para os desenvolvedores de apps, os quais davam destinação diversa aos dados coletados. Agora, é o Facebook que recebe os dados e os utiliza para finalidades não autorizadas. Aquele escândalo, que chocou o mundo, obrigou o fundador do Facebook e seus executivos a comparecer perante comissões parlamentares e reformular completamente suas práticas e a política de privacidade. Somente como multa à agência reguladora do comércio e de proteção ao consumidor (FTC-Federal Trade Comission) dos Estados Unidos, o Facebook teve que pagar 5 bilhões de dólares32. Quanto terá que desembolsar para reparar os danos causados pelo “Zoomgate”?
