O que realmente significa dar a sua “permissão”?

Algumas empresas ignoram, presumem ou até pressionam você a dar a sua “permissão”, escondendo as regras do jogo em uma política de privacidade que sabem que ninguém se dará ao trabalho de ler. Isso é irritante. É assustador. E é por isso que estamos aqui.

O fato de aplicativos com informações de saúde serem tão descuidados com as permissões ultrapassa os limites, indo de assustador a prejudicial. Veja a seguir algumas das técnicas traiçoeiras usadas para obter permissão, como você pode identificá-las e como saber para o que essa permissão está sendo usada.

Em alguns casos, eles nem se dão ao trabalho de pedir sua permissão

Como identificar: leva o usuário direto para pesquisas pessoais antes de ter a chance de ver como essas informações serão protegidas (ou não).

Ao acessar uma página que começa com uma pesquisa ou um chatbot, sem receber ou aceitar uma política de privacidade, pode-se supor que as informações estão sendo usadas (apenas) para encontrar o produto ou serviço certo para você. A coleta dessas respostas sem que você saiba como elas serão armazenadas e usadas não é algo totalmente aceitável. Mas é ainda pior quando essas informações são compartilhadas por um motivo com o qual você provavelmente não concordaria se tivesse escolha.

No caso do Talkspace, a política de privacidade diz: “As inferências sobre seus interesses são derivadas de suas respostas a pesquisas [como a acima] concluídas antes de se tornar um assinante” e são citadas como uma fonte de informações que podem ser usadas para anúncios direcionados.

Esse não é o único aplicativo de saúde mental que disponibilizou uma pesquisa extremamente pessoal antes de sua política de privacidade: BetterHelp, Happify e Youper também fazem isso.

Em outros, eles apenas dão a impressão de pedir sua permissão

Como identificar: políticas de privacidade que dizem:

As palavras “exceto” e “ou” não deveriam aparecer após uma promessa. O fato é que, como explicaremos mais adiante, a lei de privacidade de dados não costuma abordar a questão da permissão de forma detalhada e, em geral, é bastante permissiva. Então, quando os aplicativos afirmam “não faremos isso a menos que seja legal fazê-lo” não quer dizer muita coisa.

Até mesmo nós temos dificuldade de compreender o que querem dizer. Mas quando há dúvidas, surgem preocupações, pois essas pequenas brechas possibilitam que seus dados pessoais sejam, nesses dois exemplos, compartilhados ou coletados de “outras fontes”.

Essa realidade é, de fato, perturbadora. Quando seus dados são combinados, compartilhados, comprados ou vendidos, geralmente não é em seu benefício. Às vezes, eles podem ser usados para exibir anúncios extremamente personalizados. Contudo, o cenário pode se agravar bastante. Dependendo de onde você reside, a divulgação de informações privadas de saúde, como sua orientação sexual ou gravidez, pode pôr em risco sua liberdade e, em situações extremas, até mesmo a sua vida.

Na maioria dos casos, eles presumem que você deu permissão

Como identificar: políticas de privacidade que dizem:

Basicamente, esse modelo de permissão diz que, se você está usando o aplicativo, é porque concorda com as regras (das quais você pode ou não estar ciente, mas provavelmente não está). É difícil de perceber, porque mesmo quando os aplicativos não dizem isso abertamente, como faz o Maya Period, Fertility, Ovulation, & Pregnancy, muitos “presumem” que os usuários leram e aceitaram suas políticas de privacidade e que isso significa que “concordaram” com o conteúdo.

Em sua política de privacidade, o WebMD Pregnancy “pede que você leia com atenção” antes de instalar seus aplicativos ou usar seus serviços, e isso inclui acessar seus sites. Mas você já teria que estar no site da empresa para ler isso na política de privacidade. Podemos parecer exigentes, mas acreditamos que os consumidores deveriam saber a que estão dando permissão antes de as empresas assumirem que eles a deram.

O que se costuma chamar de permissão “implícita” pode, às vezes, ser aceitável. Faz sentido principalmente quando se está bem informado ou quando provavelmente se concordaria de qualquer maneira. Por exemplo, se você entra em uma loja e vê uma placa dizendo “sorria, você está sendo filmado”, você implicitamente se permitiu filmar ao entrar. Embora a ideia de ser vigiado seja desconfortável, pelo menos você está ciente disso antes de entrar.

É inaceitável que os aplicativos de saúde reprodutiva adotem uma postura semelhante quando se trata de permissão. Diferentemente da loja, onde a “placa de aviso” está à vista antes de você entrar, muitas vezes, essas advertências estão ocultas nas entrelinhas da política de privacidade, inacessíveis antes do download do aplicativo. E mesmo que não se espere privacidade em uma loja pública, é muito provável que consideremos informações como data de nascimento, dados de saúde, peso ou pormenores da vida sexual, como privados.

E ainda assim, os dois aplicativos supõem que têm sua permissão não só para armazenar, mas também para compartilhar algumas de suas informações pessoais com “parceiros comerciais” ou para fins publicitários. Uau! Isso é levar a suposição longe demais.

Em quase todos os casos, eles fazem da “permissão” a opção mais fácil

É verdade que, tecnicamente, você tem a opção de recusar, mas não é algo simples. E, convenhamos, mesmo quando não se está lidando com problemas de saúde mental, ler letras miúdas complicadas e analisar configurações difíceis de encontrar é pedir demais. Então, não parece justo que as empresas se aproveitem disso. Contudo, os aplicativos fazem exatamente isso, utilizando o design para influenciar você a fazer a escolha que eles preferem, “permitindo” algo que normalmente não permitiria.

Mas isso não viola alguma lei?

Geralmente, não. Mas em alguns casos, sim. Depende do lugar onde você mora. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia adota uma posição bastante rigorosa em relação à concessão de permissão para o processamento de dados e ao que isso implica. A permissão deve ser uma “ação afirmativa”, concedida de forma livre e informada, entre outros requisitos. É uma versão de permissão que faz todo sentido.

Ainda assim, os europeus têm motivos para se preocupar. Afinal, “permissão” é apenas um dos seis motivos para o processamento de dados de acordo com o GDPR. As empresas ainda podem tentar encontrar uma “justificativa legítima” diferente para o uso de seus dados, além da permissão. A Meta tentou justificar essa medida argumentando que os usuários desejam ter seus usados para anúncios personalizados, alegando que isso está implícito no acordo ao se inscreverem no Facebook, Instagram e WhatsApp. Sei, sei.

Outros países, incluindo os Estados Unidos, não têm uma lei federal de privacidade de dados pessoais claramente definida. No caso dos EUA, a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) é a principal regulamentação para proteção de informações de saúde, enquanto as proteções de privacidade de outros tipos de dados variam de estado para estado. No entanto, mesmo as leis mais rígidas, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), permitem certa ambiguidade em relação à permissão. Isso também ocorre no Canadá, com a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA).

E quando a permissão é assegurada por lei? Ainda assim, os aplicativos conseguem encontrar várias lacunas.

Isso significa que a “proteção” oferecida pela lei muitas vezes chega tarde demais, sob a forma de penalidades ou multas, depois que suas informações privadas já foram divulgadas. Como ocorreu recentemente, no início deste ano:

• O aplicativo de saúde mental Cerebral reconheceu ter violado o HIPAA, expondo informações de saúde pessoais e privadas de mais de 3,1 milhões de pacientes em redes sociais como Facebook e TikTok.

• A plataforma BetterHelp teve complicações com a Comissão Federal de Comércio (FTC) dos Estados Unidos por violar a promessa de manter em sigilo dados de saúde, incluindo detalhes sobre desafios relacionados à saúde mental. Esses dados foram compartilhados com empresas como Facebook e Snapchat. Como resultado, a empresa foi alvo de uma ação legal e teve que pagar uma multa de US$ 7,8 milhões, mas alegou que o acordo não significava uma admissão de culpa e que tais práticas são consideradas normais na indústria.

O que você pode fazer?

Ninguém deveria precisar pagar pelo bem-estar de sua privacidade. Também não deveria caber a você defender seus dados de empresas que parecem ter inventado um significado totalmente novo para a palavra “consentimento”. Mas, até que essas práticas bastante comuns sejam abandonadas, existem atitudes que você pode tomar para proteger melhor a si mesmo e sua comunidade.

Tome atitudes para proteger sua própria privacidade

Aqui estão algumas coisas que você pode fazer para entender melhor com o que você concorda (muitas vezes sem querer) ao usar aplicativos que coletam informações confidenciais.

Para dicas de privacidade mais aprofundadas, recomendamos que você consulte nossas análises individuais de aplicativos de saúde mental e reprodutiva.

Apoie nosso trabalho

Conseguimos realizar e publicar esta pesquisa graças (em grande parte) a doações de pessoas como você que gostam de privacidade. Muitos de nossos apoiadores contribuem com US$35 a US$50. Pode nos ajudar a esclarecer as práticas de privacidade assustadoras de empresas?

Quer causar um impacto ainda maior? Participe como doador mensal para ajudar a fornecer financiamento sustentável, para podemos lutar por tecnologia melhor o ano todo!