RGPD vs. Facebook: monopólio de informação?

Já passaram mais de dois anos desde a implementação do Regulamento Geral de Proteção de Dados (RPGD), concebido para controlar o tratamento de dados pessoais. Mas qual foi o seu efeito nas grandes empresas de tecnologia?

• Os gigantes tecnológicos como o Facebook e o Google foram os primeiros a implementar medidas de proteção de dados, deixando para trás boa parte dos concorrentes.
• A recolha de dados fora das suas plataformas constitui uma das maiores preocupações no que diz respeito ao tratamento de dados por parte do Facebook.

O RGPD foi colocado em funcionamento a 25 de maio de 2018, com centenas de novos requisitos para empresas de todo o mundo. O RGPD exige transparência a empresas que lidem com dados de pessoas na União Europeia, no que diz respeito ao tratamento de dados pessoais.

Com “tratamento”, a legislação refere-se a qualquer operação ou conjunto de operações realizadas sobre dados pessoais, desde a sua compilação até à sua destruição.

Quais são os princípios de proteção de dados do RGPD

Qualquer que seja a nacionalidade ou o domicílio das pessoas, o tratamento dos dados de caráter pessoal deve ser realizado conforme os seguintes princípios estabelecidos pelo RGPD:

1. Licitude: o tratamento deve ser realizado com o consentimento do interessado ou sobre alguma outra base legítima.
2. Lealdade e Transparência: exige que o interessado seja informado da existência da operação de tratamento e os seus fins e que a informação e comunicação dirigida ao público ou ao interessado, relativa ao tratamento dos dados pessoais, seja concisa, facilmente acessível e fácil de entender, e que seja utilizada uma linguagem simples e clara.
3. Limitação da finalidade: os dados devem ser recolhidos com fins determinados, explícitos e legítimos e não serão tratados ulteriormente de maneira incompatível com tais fins: por exemplo, o propósito de oferecer anúncios personalizados.
4. Minimização dos dados: só é possível compilar a informação estritamente necessária relativamente ao objetivo do seu tratamento.
5. Exatidão: os dados devem ser exatos e manter-se atualizados.
6. Limitação do prazo de conservação: só é possível guardar os dados durante o tempo necessário para cumprimento dos objetivos do tratamento.
7. Integridade e confidencialidade:a empresa deve garantir a segurança adequada dos dados pessoais, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a sua perda, destruição ou prejuízo acidental mediante a aplicação de medidas técnicas ou organizativas. Como exemplo, a proteção através de encriptação.
8. Responsabilidade:o controlador de dados é o responsável por demonstrar que cumpre todos estes princípios do RGPD.

Os escândalos do Facebook com relação à gestão de dados são conhecidos por todos. Em parte, o RGPD destina-se a controlar o monopólio da informação por parte dos gigantes tecnológicos. Apesar disso, muitos especialistas concordam que a normativa criou uma barreira que bloqueia os concorrentes mais pequenos.

A empresa de Mark Zuckerberg aplicou o RGPD de maneira bastante estrita, segundo os analistas. No entanto, o sistema não é perfeito.

Processador ou controlador de dados?

Antes de ver como o Facebook se adaptou à normativa, é importante distinguir entre o processador de dados e o controlador de dados:

• O controlador de dados é a pessoa que decide como e com que objetivo será tratada a informação.
• Por outro lado, o processador de dados atua em nome do controlador. Por exemplo, um fornecedor de armazenamento online, um call center ou qualquer serviço externo seria considerado processador de dados. Estes têm a responsabilidade de tratar os dados de forma segura e conforme a legalidade, seguindo as diretrizes do controlador de dados.

No caso do Facebook, este nem sempre atua como controlador de dados. Em certas ocasiões, quando o Facebook realiza o tratamento da informação em nome de um anunciante, o controlador é este último, enquanto o Facebook se limita a ser o processador dos dados.

Estes são os serviços nos quais o Facebook é unicamente o processador:

• Anúncios com audiências personalizadas criadas a partir de arquivos de dados.
• Ferramenta de medição e estatísticas.
• Workplace Premium do Facebook.

O controlo parental do Facebook é fácil de eludir, já que o menor pode solicitar a autorização de qualquer adulto usando um endereço eletrónico.

Como é que o Facebook se adaptou ao RGPD?

Desde 2018, o Facebook tem feito um esforço para que os utilizadores entendam melhor o que a empresa sabe sobre eles e para que utiliza essa informação pessoal. Especificamente, o Facebook implementou uma série de medidas:

• Consentimento expresso para o uso de dados com a finalidade de oferecer anúncios personalizados.
• Consentimento expresso para partilhar informação sensível, como o estado civil ou as crenças religiosas. Mesmo com o consentimento do utilizador, os anunciantes não podem personalizar os anúncios com base nesta informação.
• Possibilidade de bloquear o seguimento da navegação em sítios web que incluem o pixel de conversão, o botão Gosto ou a publicidade de Audience Network.
• Consentimento parental para partilhar a informação sensível de utilizadores menores de idade. Também se requer autorização para receber publicidade personalizada.
• Novo sistema de reconhecimento facial para evitar a usurpação da identidade.

No consentimento do Facebook, será que realmente temos opção?

As medidas do Facebook para melhorar a sua transparência estão longe de ser perfeitas.

Segundo os analistas, a estrutura da plataforma facilita a aprovação do consentimento, enquanto dificulta a configuração dos termos de privacidade e outras ações importantes, como eliminar a conta.

Por exemplo, quando é preciso dar o nosso consentimento sobre informação sensível, o Facebook permite a qualquer momento fazer clique num botão proeminente de “Aceitar e continuar”. Se, por outro lado, quisermos configurar a informação, temos de encontrar um texto cinzento com um link que passa totalmente despercebido. Depois de fazer clique, o Facebook tenta dissuadir-nos de modificar as nossas preferências.

Alguns legisladores consideram que o Facebook utiliza estratégias de “consentimento forçado” que entram em conflito com o RGPD.

Outro exemplo é a utilização de dados de navegação do utilizador. Embora seja possível desativar o seguimento para utilização em publicidade personalizada, o Facebook utiliza essa informação para personalizar o nosso feed de notícias e otimizar outras partes do seu serviço.

Apesar destes truques, o Facebook é uma das empresas que se adaptaram melhor ao novo regulamento. Há que ter em conta que o seu negócio se baseia no tratamento de informação privada, pelo que os requisitos de privacidade e transparência devem ser os mais elevados.

Por último, se colocarmos anúncios no Facebook com audiências personalizadas, devemos certificar-nos que estamos a cumprir os requisitos do RGPD.