Mark Zuckerberg garantiu ao Congresso norte-americano, no início de abril, que iria aplicar os “controlos” do RGPD aos utilizadores do Facebook de todo o mundo, mas as ações que a empresa levou a cabo logo a seguir contradizem-no.

Os novos termos de serviço, divulgados no dia 18 do mesmo mês, transferiram a responsabilidade de todos os utilizadores fora dos Estados Unidos, Canadá e União Europeia (cerca de 1500 milhões de pessoas) dos escritórios na Irlanda, onde é a sede europeia, para os escritórios na Califórnia. Isto quer dizer que estes utilizadores passam agora a ser abrangidos pela legislação norte-americana e não pela europeia, onde as leis de privacidade vão ser mais apertadas.

Entretanto, os utilizadores europeus – e não só - começaram a receber um pedido de revisão das suas preferências de privacidade. Além das questões sobre o uso de dados sensíveis já mencionados, a rede pediu mais autorizações aos seus utilizadores.

A empresa aproveitou as atualizações com as novas regras europeias de proteção de dados para introduzir novamente o reconhecimento facial (um dado biométrico, considerado sensível pelo RGPD) na Europa e no Canadá.

A funcionalidade foi banida nas duas zonas do globo, em 2012, devido a preocupações de reguladores sobre a privacidade. Parte do problema era que a informação biométrica, de sensibilidade máxima, ficava arquivada nos servidores da empresa. Jorge Silva Martins, da PLMJ, explica que as autoridades reguladoras europeias entenderam que não havia uma justificação suficientemente forte, do lado da empresa, para a recolha e tratamento desse dado.

Agora, o novo regulamento vem mudar as regras do jogo. “A interação das empresas com as entidades nacionais no que toca a tratamento de dados deixa de existir a priori”, explica o advogado. “Se eu conseguir justificar a finalidade da recolha e do tratamento, o regulamento diz que tenho poder para o fazer. Claro que, nesta lógica de autorregulação, é natural que as empresas tenham alguma tentação de correr esse risco”, diz Jorge Silva Martins.

Foi isso mesmo que o Facebook aproveitou para fazer: perguntar diretamente aos utilizadores se querem utilizar aquela ferramenta, com o objetivo de obter o seu consentimento explícito. Quem tiver respondido rapidamente clicando nos botões azuis, sem ler com atenção, terá ativado, por defeito, a funcionalidade antes proibida.

Até aqui, todos os utilizadores da internet estavam sujeitos à recolha de dados pelo Facebook, em websites que tivessem incorporados botões de “gosto” ou “partilha” – mesmo que os utilizadores não estivessem “online” ou nem tivessem conta na rede social.

Com a atualização da política de privacidade, a rede social passa a deixar os utilizadores bloquear o uso desses dados para adaptar anúncios aos seus gostos.

No entanto, continua a não ser possível impedir a empresa de os recolher (mesmo que não tenha conta na rede) ou de usar esses dados para personalizar o seu “feed” ou otimizar outras partes do serviço.

Neste caso, segundo Jorge Silva Martins, aquilo que o utilizador pode fazer é exercer o seu direito de se opor à recolha de dados ou de pedir que a empresa apague dados cuja recolha considere abusiva, contactando-a diretamente.

O Facebook mudou recentemente os termos de serviço e uso de dados, para os tornar mais explícitos e fáceis de ler. Não fez alterações de fundo, além de informar que estas regras se aplicam também a empresas subsidiárias, como Instagram e Messenger. No entanto, não existe um botão para “rejeitar” os termos, apenas um grande botão que diz “Eu aceito”.

Caso não aceite as regras, o Facebook dá-lhe, a letras pequenas, “outras opções”. Mas a única opção é eliminar a conta. Antes de o fazer, pode descarregar toda a informação que cedeu à rede social enquanto teve conta. Ou quase toda, porque na funcionalidade “Download Your Data” não se incluem as informações recolhidas nos sites ou nas apps parceiras.

No que diz respeito aos seus utilizadores diretos no Gmail, Youtube, e Google.com, a Google fez mudanças na sua política de privacidade, mas apenas na forma e não no conteúdo.

A gigante tecnológica esclarece no seu blog que, embora não haja mudanças significativas nas configurações atuais ou na forma como os dados dos utilizadores são processados, as informações de como esses dados são recolhidos e para quê serão mais claras.

Para reforçar a “transparência”, a Google passa também a dar aos utilizadores ferramentas mais simples para reverem as suas definições de privacidade, no separador “Controlo de atividade”

O controlo fica, assim, do lado do utilizador - pelo menos aparentemente. “Não há nenhuma política de privacidade que vá alterar radicalmente aquilo que existe hoje em dia. Se passarmos o poder absoluto para o titular dos dados, isto significa que as empresas, que vivem de dados, vão passar o seu modelo de negócio para as mãos do seu produto”, explica Jorge Silva Martins.

Nos novos termos e condições, a Google torna claro que não vai deixar de registar dados sobre os dispositivos que usa para aceder aos seus produtos, os termos que pesquisa, os vídeos a que assiste, interações com anúncios, informações de voz e áudio quando usa recursos de áudio, compras online, pessoas com quem comunica, atividade em sites e apps parceiras e o histórico de navegação do Chrome.

No entanto, o utilizador pode gerir mais facilmente algumas das definições de privacidade – pode, por exemplo, recusar que o Google guarde todas as suas pesquisas e atividades; pode desativar o histórico de localização, se não quiser que a empresa guarde nos servidores todos os passos que dá; pode desativar a sincronização de todos os seus contactos, agendas, apps, etc., com a conta Google; pode ainda desativar o reconhecimento de voz, o histórico de pequisa e de exibição do Youtube.

“Os novos termos de serviço criam uma perceção (ou ilusão) de que o titular dos dados é que os controla”, diz o advogado. Mas há um outro lado da moeda: “se eu estou mais seguro, se calhar vou partilhar mais, vou dar mais dados. Há uma lógica de troca que está subjacente a estas plataformas, que pelo menos neste modelo de negócio não vai mudar”, considera o especialista.

A política de privacidade da Google não atinge apenas os seus utilizadores diretos, mas também aqueles que usam os serviços de publicidade da empresa norte-americana nos seus sites, incluindo empresas de media em todo o mundo.

Neste capítulo, a empresa fez mudanças na sua organização, para se adaptar ao RGPD. Mas as mudanças não facilitaram a vida a parceiros, pelo contrário; em março, a Google anunciou que passaria para os “publishers” a responsabilidade de pedir consentimento dos seus próprios utilizadores para usar os seus dados. Assim, cada site ou aplicação que use produtos de publicidade da Google deve obter, junto dos utilizadores, consentimento para usar cookies, recolher ou partilhar dados para personalização de anúncios.

Com uma grande diversidade de produtos, plataformas e serviços, a organização da empresa torna-se complexa aos olhos do utilizador comum. Ao mesmo tempo, a Google considera-se controladora (organização que decide como e porque é que os dados são processados), processadora (organismo que trata os dados pessoais por conta do responsável pelo tratamento destes, ou subcontratante) e ainda co-controladora de dados.

Em produtos de publicidade como o AdMob, AdSense, AdWords, DoubleClick Ad Exchange (AdX) e o DoubleClick for Publishers (DFP), a Google considerava-se controladora de dados; já no que diz respeito a ferramentas como o Google Analytics, Ads Data Hub e DoubleClick Bid Manager, a Google considerava-se processadora.

No entanto, em março, a empresa introduziu novos termos em contratos de aplicações em que era controladora de dados, para passar a ser co-controladora. Ou seja: a Google continua a ter autonomia sobre os dados recolhidos e algum controlo sobre como os dados são processados, mas passa a partilhar a responsabilidade de os proteger com os parceiros. Além disso, não informa os parceiros sobre como usará os dados recolhidos – pelo que a responsabilidade de um erro da Google recairia sobre os publishers.

A mudança, aplicada a menos de um mês da entrada em vigor do RGPD, escandalizou muitos responsáveis por sites que usam os serviços de publicidade da Google. Quatro dos maiores grupos de media do mundo, que incluem sites como o da Associated Press, do The New York Times, do The Guardian, e da Thomson Reuters, escreveram uma carta aberta ao CEO da Google, acusando a empresa de arrogância e dirigindo-lhe uma série de questões.

Para fazer face à nova lei, a Google lançou ainda uma nova solução de publicidade, para permitir a publishers mostrar anúncios não personalizados a utilizadores que decidam recusar a recolha de dados para anúncios.