Finja surpresa: apps do governo brasileiro não ligam pra sua privacidade

A discussão sobre uma lei de proteção aos dados pessoais no Brasil tem avançado em 2018, mas ainda há pontos problemáticos. Dentre eles está uma flexibilidade excessiva na maneira como o próprio governo precisará atender a regulamentação. Para dar um gostinho do impacto real disso, o InternetLab fez um levantamento sobre como aplicativos da administração federal e do governo de São Paulo lidam com as informações do usuário. O resultado, claro, não foi muito bom.

“Resolvemos olhar para esses apps e ver a maneira como governo está descuidando desse tema”, diz Jacqueline Abreu, coordenadora de privacidade e vigilância do InternetLab. “No último substitutivo do PLS 330/2013 [projeto de lei sobre o tema que tramita no Senado] o regime era super flexibilizado em termos de uso e transparência para administração pública. É como se não tivessem que oferecer informações sobre o que estão fazendo com os dados pessoais. É básico, é o mínimo.”

O estudo avaliou 13 aplicativos ao todo, oito da esfera federal e cinco de São Paulo, em três aspectos: as permissões solicitadas (quando o app pede acesso a sua câmera, localização ou contatos, entre outros), disponibilidade de uma política de privacidade (explicação sobre quais dados são coletados, como são armazenados e o que é feito com eles) e consentimento do usuário (aquela perguntinha básica se você topa utilizar o programa depois de saber tudo o que será feito com suas informações).

A despeito de exigências dispostas no Marco Civil da Internet sobre os dois últimos pontos, nenhum dos 13 aplicativos pede consentimento expresso dos usuários. Seis deles também não oferecem qualquer tipo de política de privacidade e outros dois têm políticas genéricas sem informações claras (veja abaixo).

Mesmo entre os apps que tem documentos detalhados sobre o uso de dados, chamou atenção a incongruência entre o que é coletado, como isso pode ser utilizado e a finalidade do programa. É o caso dos aplicativos do FGTS e Bolsa Família, desenvolvidos pela Caixa. Segundo a política de privacidade disponibilizada pelo banco, há possibilidade de compartilhar ‘dados não pessoais’ com terceiros para criação de campanhas publicitárias.

Por meio do Lumen Privacy Monitor, que monitora o tráfego de informações no celular, os pesquisadores do InternetLab notaram que os apps da Caixa transferem para o banco o Android ID do celular do usuário, que permite identificar o usuário do Google vinculado ao aparelho. “A Caixa tem um caráter de empresa, mas para os aplicativos FGTS e do Bolsa Família a gente não entender por quê dos dados serem usados em publicidade. É questionável que se faça isso”, afirma Jacqueline.

Pelo menos a Caixa explica por que coleta determinadas informações sobre os usuários. De maneira geral, o InternetLab notou que os apps públicos usam uma rede larga na hora de requisitar permissões de acesso e terminam pecando pelo excesso.

Há dois problemas nisso. Do ponto de vista da segurança da informação, eles ignoram o princípio do menor privilégio, segundo o qual um aplicativo deveria utilizar o mínimo de informações possíveis para rodar. Do ponto de vista governamental, parecem ir além do que seria o estritamente necessário para atender ao interesse público.

Um bom exemplo é o SP Serviços, desenvolvido pela Companhia de Processamento de Dados do Estado de São Paulo (Prodesp). O SP Serviços é uma espécie de ‘metaplicativo’, que conecta o usuário a diversos outros apps oferecidos pelo governo do estado. Por quê, então, ele necessitaria de acesso à geolocalização ou à memória externa do aplicativo onde está instalado?

“São permissões desvinculadas de funcionalidades específicas, não tem nada a ver com o aplicativo”, diz Jacqueline. Tanto é assim que o SP Serviços funciona normalmente caso sejam negadas todas as permissões que podem ser gerenciadas no celular.

O ANATEL Consumidor, por sua vez, usou uma permissão de acesso às contas cadastradas no celular para transmitir aos servidores da Agência o nome de usuário do Twitter e conta de serviço da nuvem da Microsoft vinculados ao celular utilizado na pesquisa.

Na opinião de Jacqueline, esse cenário não é resultado de má fé dos desenvolvedores, mas sim de uma falta de cultura de privacidade. “Não faz parte da preocupação. Na hora que estão desenhando app, utilizam a permissão genérica que resolve inúmeros problemas de uma vez só, mas expõe as pessoas a diversos riscos”, afirma a pesquisadora. “As pessoas precisam ter direitos básicos de proteção de dados mesmo em relação ao setor público. Se não a gente vai ficar na escuridão.”

Sobre a falta de políticas de privacidade, o Serviço Federal de Processamento de Dados (Serpro), que desenvolveu os aplicativos SNE Denatran e CNH Digital, diz que “de fato, há uma lacuna nos aplicativos. Essa questão relacionada à política de privacidade já está sendo tratada pela equipe de desenvolvimento do Serpro”.

A EMTU disse que atualizou o aplicativo EMTU Oficial com revisões na funcionalidade, termos de uso e política de privacidade. A previsão é que a nova versão esteja disponível em até 15 dias úteis. Também ressaltou que não coleta informações de cunho pessoal, ou que possam identificar ou rastrear o aparelho onde o app foi instalado.

A Secretaria da Fazenda de São Paulo, responsável pelo Nota Fiscal Paulista, afirmou que disponibiliza política de privacidade em seu site e que a equipe de TI estuda para a próxima atualização do app um link que facilitaria ao usuário o acesso ao documento. A pasta explicou ainda que a captura do número serial do celular do usuário, também identificada pelo InternetLab no levantamento, é feita com o objetivo de identificar se um mesmo aparelho é usado para identificar mais de uma conta do programa (um possível indício de fraude), com finalidade restrita para esse fim e sem compartilhamento com outros órgãos do governo.

O Metrô de São Paulo defende que seus aplicativos atendem o Marco Civil da Internet. O Metrô de São Paulo Oficial, considerado no estudo, não oferece política de privacidade por ser apenas informativo, “que não pede informações nem armazena dados de usuários ou visitantes.” Por outro lado, o Metrô Conecta, outro app da instituição, “tem política de privacidade válida e facilmente localizável”.

A Anatel, por sua vez, ressaltou que o Anatel Consumidor se destina “exclusivamente à realização de um fim público. Atentos a essa circunstância, os termos de uso do aplicativo serão atualizados para informar ao consumidor o que sempre foi a finalidade do tratamento de dados pelo aplicativo da Agência: utilização limitada aos fins aos quais a destinam os canais de atendimento”.

Sobre a obtenção de dados de contas do Twitter e Microsoft pelo aplicativo, a Anatel limitou-se a afirmar que o pedido de permissão para acessar contas cadastradas é consequência da opção por uma configuração genérica do código-fonte quando o aplicativo foi desenvolvido, em 2014. “Agora, com a evolução tecnológica e em consonância com a preocupação da sociedade no uso de dados pessoais, novos aplicativos serão lançados pela com revisão minuciosa das permissões, que serão solicitadas conforme a necessidade”, escreveu a assessoria da Agência por e-mail.

A Prodesp, do SP Serviços, disse que “já está atuando com uma equipe de profissionais das áreas jurídicas e de qualidade e inovação para aprimorar a atual política de privacidade do SP Serviço”. No que tange às permissões de acesso, a Companhia afirma que há aquelas que são solicitadas para facilitar a vida do usuário, como a geolocalização (caso ativada, permite a indicação de posto do Poupatempo mais próximo, por exemplo).

Além disso, a Prodesp explica que mantém o aplicativo compatível com versões antigas do Android, que requerem permissões desnecessárias para aparelhos novos. “Essa estratégia visa a atender a maior quantidade de usuários, mesmo aqueles com dispositivos menos recentes.”

A Caixa não respondeu perguntas sobre os aplicativos do FGTS e Bolsa Família.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.