FaceApp não atende à maioria das prerrogativas da LGPD, mas mesmo assim o app está entre os mais baixados (de novo)
O aplicativo que bombou em 2019, com um recurso que fazia as pessoas “envelhecerem” nas fotos, está de volta, agora transformando o gênero de seus usuários e requentando uma discussão antiga a respeito da segurança dos dados compartilhados com o app.
À época, surgiram preocupações de que o FaceApp, uma startup teoricamente russa, mas que hoje tem sede declarada nos Estados Unidos, faria o upload das fotos dos usuários na nuvem, sem deixar claro para eles que o processamento não está acontecendo localmente no dispositivo.
Outro problema levantado pelos usuários do FaceApp foi que o aplicativo iOS parecia substituir as configurações se um usuário negasse o acesso ao rolo da câmera – ou seja, apesar do aplicativo não ter permissão para acessar suas fotos, ele acessava mesmo assim.
Conforme ia ganhando popularidade, muito se discutiu se o app seria uma forma de coletar dados faciais para sistemas de reconhecimento e vigilância ostensiva, espionagem russa ou algo mais dramático.
Porém, um depoimento de 2019 do analista sênior de segurança da Kapersky, Fabio Assolini, assegura que o aplicativo em si não tem nada de malicioso, uma vez que a selfie do usuário é enviada aos servidores do app para modificação e mandada de volta ao celular dele com o resultado pronto, sem quaisquer desvios nesse processo.
Por outro lado, isso não significa que o FaceApp esteja isento de problemas em relação à privacidade, especialmente no atual contexto da LGPD.
O real problema do FaceApp não tem tanto a ver com os rostos das pessoas
O X da questão está nos termos de uso do aplicativo, que cita coleta de dados e o compartilhamento dessas informações para fins de publicidade, sem especificar como e deixando as informações suficientemente em aberto para que não sejam facilmente compreendidas.
Na verdade, as políticas de privacidade do FaceApp comunica que não apenas as fotos produzidas são coletadas para fins de melhoria dos algoritmos de IA, mas também informações sobre os próprios usuários.
“Esses dados estão armazenados em servidores de terceiros, e que também podem ser roubados por cibercriminosos e utilizados para a falsificação de identidades”, alerta Assolini, da Kapersky.
O software inclui em seu conjunto de compartilhamento a localização do usuário, o celular usado para acessar o aplicativo, dados de navegação – como histórico, plugins e cookies a partir dos browsers instalados – e quaisquer outras informações pessoais que o FaceApp julgue relevantes para seus parceiros.
Além disso, comunica que, adquirindo o aplicativo, o usuário concede ao FaceApp uma “licença perpétua, irrevogável e não exclusiva” para utilização das informações coletadas.
Finalmente, se reserva o direito de burlar as legislações a respeito da proteção de dados pessoais, podendo transferir as informações dos usuários a servidores em países onde essas legislações não vigoram.
De acordo com o texto dos Termos de Uso do FaceApp:
“Se você estiver na União Europeia ou em outras regiões com leis que regem a coleta e uso de dados que possam diferir da legislação dos EUA, por favor note que podemos transferir informações, incluindo informações pessoais, para um país e jurisdição que não tenha a mesma proteção de dados.”
O que a LGPD diz?
Um dos princípios da lei determina que “todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular”.
Ela também é categórica a respeito da transparência no tratamento desses dados.
Portanto, de cara, esses pontos levantados a respeito da forma como o FaceApp lida com o dado de seus usuários, no mínimo, vai contra metade dos princípios da Lei Geral de Proteção de Dados.
O FaceApp está dentro da lei?
Para determinar se o app estaria dentro da lei, nós analisamos quais princípios da LGPD o aplicativo cumpre.
- Adequação: Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. – NÃO CUMPRE
- Necessidade: Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa. Qualquer desvio de conduta será punido. – NÃO CUMPRE
- Livre-acesso: Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular. – NÃO CUMPRE
- Qualidade dos Dados: Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular. – NÃO CUMPRE
- Transparência: Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes. – NÃO CUMPRE
- Segurança: É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer. – CUMPRE, EM PARTES
- Prevenção: As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares. – CUMPRE, EM PARTES
- Não-Discriminação: De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares. – CUMPRE
- Responsabilidade e Prestação de Contas: As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência. – NÃO CUMPRE
Veredito: o FaceApp não seria considerado seguro conforme as prerrogativas da LGPD.
Não só isso, a ideia de conceção de uma “licença irrevogável” se opõe à base legal de que um usuário teria o direito de revogar seu consentimento e solicitar o apagamento de seus dados do banco do aplicativo quando quiser.
Nas palavras da lei: “toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente”.
E aí? Posso usar o FaceApp?
Os usuários são livres para entrar na brincadeira, mas devem estar atentos sobre a forma como o app lida com seus dados e tomar decisões conscientes a respeito de seu uso. Também reiteramos a importância da leitura dos termos de privacidade de todos os apps para entender quais informações são solicitadas.
A recomendação geral é que você evite utilizar qualquer aplicativo que não assegura a proteção dos seus dados pessoais. Mas, se não tiver jeito, pelo menos cuide para que seu dispositivo esteja protegido ao máximo contra potenciais invasores.
Nas redes da Compugraf, nossos especialistas em cibersegurança compartilham dicas de como proteger seu celular contra agentes mal-intencionados. Siga-nos e garanta sua proteção!
