O tratamento de dados sensíveis já é proibido na União Europeia desde 1995. A proibição é reforçada pelo RGPD, que acrescenta a orientação sexual a uma lista de dados já antes considerados sensíveis: origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos e dados relacionados com a saúde.
Em fevereiro deste ano, um grupo de investigadores da Universidade de Madrid concluiu que o Facebook deixava os anunciantes filtrarem a sua publicidade através de dados considerados sensíveis pelo regulamento da União Europeia.
O estudo “O uso de dados sensíveis para publicidade pelo Facebook na Europa” concluiu que, dentro da União Europeia, os utilizadores portugueses são os que mais recebem publicidade com base nessa informação íntima e privada, dentro da União Europeia. 81% dos utilizadores portugueses receberam anúncios com base em dados pessoais sensíveis.
“Oncologia”, “sindicatos”, “gravidez” e “medicinas alternativas” são os tópicos de informação sensível mais utilizados para atingir os portugueses com publicidade.
Os três investigadores espanhóis, autores do estudo, são também criadores da FDVT, uma ferramenta que permite a um utilizador saber quanto dinheiro o Facebook lucra consigo, em anúncios.
Ángel Cuevas conta à Renascença que, durante uma apresentação pública do projeto, recebeu um anúncio dirigido à comunidade gay. “Ligue-se com a comunidade gay e alugue locais baratos para pessoas como você. Marque já”, lia-se no anúncio.
“Fiquei a pensar porque é que recebi este anúncio”, explica Angel à Renascença. E ao fazer alguma pesquisa, descobri as preferências dos anúncios e vi que o Facebook me associou a alguém interessado em homossexualidade”.
Depois de, no ano passado, uma investigação da ProPublica ter provado que o Facebook permitia aos anunciantes excluir utilizadores do seu público-alvo conforme a raça, a empresa alterou as regras do jogo.
Hoje, o Facebook já não permite aos anunciantes dirigirem-se a pessoas de determinada raça, religião ou convicção política. No entanto, a empresa usa vários dados para agrupar utilizadores, com base no conteúdo com que estes interagem, páginas de que gostam ou preferências linguísticas. Estes são dados que permitem aos anunciantes orientar anúncios para esses interesses.
Ángel explica como os dados são atribuídos a determinada pessoa: “Se fazes like num evento de um bar gay famoso em Lisboa, é muito provável que o Facebook assuma que és homossexual. Também pode haver heterossexuais que cliquem e digam que gostam e que pretendem ir à festa, mas o senso comum diz que as pessoas que clicam nessas páginas serão possivelmente homossexuais, mesmo que errem ao dirigir-se a algumas dessas pessoas.”
No que toca ao tratamento de dados sensíveis, Jorge Silva Martins, advogado da PLMJ, considera que o Facebook está numa “fronteira” entre o que é abusivo e o que está coberto pelo regulamento.
“Tendências não são dados pessoais. Posso ler muitos artigos de um tema que me interesse muito, mas isso não me define necessariamente”, explica o especialista em Tecnologia e Direito da Internet. No entanto, “se o tipo de monitorização permitir indiretamente chegar ao dado pessoal que o titular não quis dar, se o ‘profiling’ tiver um grau de intromissão muito elevado, então o Facebook está a tentar chegar ao dado, apesar de não ter o consentimento do titular. E nesse caso, não pode tratá-lo”, explica o advogado.
“Neste âmbito, o que é abusivo e o que está coberto pelo regulamento é difícil de definir”, considera Jorge Silva Martins. “Posso ter autorização para fazer ‘profiling’, e isso é claro no Facebook, não posso é utilizá-lo para chegar a dados que não estou autorizado a tratar”.
Maria Eduarda Gonçalves, professora do ISCTE e investigadora em direito da informação, considera que a recolha destes dados, se for reutilizada para canalizar mensagens ou divulgada de alguma forma, “viola os princípios da proteção de dados”.
“É legítimo que as entidades usem dados pessoais, os que são necessários para que a rede funcione. Mas a reutilização desses dados, seja pela entidade que fornece o serviço em primeira mão, seja por outras entidades que recolhem os dados e os difundem ou usam para canalizar mensagens, é condicionada por um conjunto de regras”, explica.
Para usar estes dados sensíveis, sob o RGPD, o Facebook teria que ter um consentimento explícito do utilizador, uma vez que a utilização desses dados pela empresa não constitui interesse legítimo, serviço público, nem protege os interesses vitais do utilizador.
Num comunicado lançado após uma investigação semelhante à da Universidade de Madrid, assinada pelo The Guardian e pela empresa de radiodifusão pública da Dinamarca, o Facebook afirma que agrupar os interesses de um utilizador não é o mesmo que agrupar os seus dados pessoais. “Como outras empresas de internet, o Facebook mostra anúncios baseados em tópicos em que achamos que as pessoas podem ter interesse, mas sem usar dados pessoais sensíveis. Isto significa que alguém pode ter listado um interesse em “gay pride”, porque fez gosto numa página associada a este interesse ou clicou num anúncio deste assunto, mas isso não reflete características pessoais como género ou sexualidade”.
Clara Guerra, da Comissão Nacional de Proteção de Dados, lembra que o regulamento prevê que os dados tornados públicos pelo titular possam ser tratados. “As pessoas dão muita informação sobre si na internet e abrem a porta a este tipo de tratamentos”, diz.
“Por outro lado, podemos dizer que mesmo quando as pessoas dão a sua informação, muitas vezes não lhes é fornecida toda a informação que a lei exige que lhes seja fornecida para que elas dêem um consentimento informado”, contrapõe.
Para João Leitão Figueiredo, da CMS Rui Pena & Arnaut, “há uma recolha excessiva de informação dos titulares dos dados” e a regra do consentimento explícito não é verdadeiramente cumprida pela plataforma. “Na vasta maioria dos casos, não existe consentimento do titular dos dados, e como tal, a atividade está a ser exercida de forma ilícita. Poderá dar lugar à aplicação de uma sanção”, explica.
Numa tentativa de se adaptar às regras do RGPD, em abril, o Facebook começou a pedir aos utilizadores que revissem as suas definições de privacidade e os dados que querem partilhar com a rede.
No que diz respeito aos dados sensíveis, o questionário avisava claramente os utilizadores que, caso quisessem deixar no seu perfil público as suas preferências políticas, religiosas ou a sua orientação sexual, esses dados seriam utilizados para personalizar conteúdos e produtos.
Apesar de não existir um “não aceito”, a plataforma dava ao utilizador a hipótese de remover esses dados do seu perfil, para que eles não fossem usados para esses fins.
No entanto, mesmo que o utilizador tenha retirado estas informações sensíveis do seu perfil, o Facebook deixa um aviso: “Mesmo não tendo estes dados no seu perfil, pode continuar a ver anúncios e outros conteúdos que pareçam relacionar-se com esses dados. Isto é devido a outras ações que mostram que tem interesse nestes tópicos”. Para este “aviso”, não há uma opção de recusa.
Se não quiser que que esses dados sejam tratados mas também não quiser deixar a rede, a única opção é, manualmente, remover os interesses que a plataforma registou sobre si, aqui – e ter muito cuidado com as suas ações “online”, uma vez que elas são registadas e categorizadas para fins comerciais.
Clara Guerra, da CNPD, não tem dúvidas: “Aquilo que o Facebook faz é não cumprir a lei”. O caso Cambridge Analytica, que veio a público em março deste ano, é “a ponta do iceberg”, considera a responsável pelo Serviço de Informação e Relações Internacionais daquele organismo. “Embora o Facebook tenha vindo a melhorar a sua política de privacidade, ainda está longe de cumprir a legislação europeia”, garante.
No entanto, quanto a possíveis sanções, Clara Guerra ressalva que, neste momento, e apesar de “o regulador português, sozinho, não conseguir fazer nada”, vai passar a ter mais poder. “Até agora, as autoridades de proteção de dados estavam reunidas num grupo de trabalho que só tem poderes consultivos”, explica. “Daqui para a frente, estarão reunidas no Comité Europeu da Proteção de Dados, que já terá personalidade jurídica” e colocará o Tribunal de Justiça da União Europeia na equação.