Multa da GDPR serve de alerta para quem usa ferramentas gratuitas baseadas em web

Há muitos riscos envolvidos no uso de ferramentas grátis baseadas em web, inclusive o vazamento de informações dos usuários.

Uma decisão recente com base na GDPR (General Data Protection Regulation, ou “Regulação Geral de Proteção de Dados”), na Europa, trouxe ainda mais destaque no debate sobre o impacto destes recursos sobre a privacidade e segurança digital das pessoas.

Perigos à privacidade das pessoas

Há muitos debates sobre os riscos à privacidade causados pela incorporação de serviços “gratuitos” ofertados principalmente pelas gigantes das mídias sociais, incorporadas às páginas web.

Geralmente, os serviços são gratuitos porque o website monitora registros de ações do usuário e, assim, utiliza-os para incorporar publicidade personalizada. Há também o comércio e venda de informações pessoais dos usuários para terceiros.

Assim, dados pessoais como atividades online, histórico de pesquisa e endereço de IP (confira o guia “como saber meu IP”) ficam mais vulneráveis.

Até mesmo ferramentas aparentemente inofensivas podem gerar problemas de privacidade.

Uma decisão baseada na GDPR

Uma empresa europeia foi obrigada a pagar uma multa em decisão baseada na legislação da GDPR, que versa sobre proteção de dados.

A empresa utilizava um recurso baseado em web, uma fonte de texto hospedada e distribuída pela Google Fonts que, de acordo com a decisão, vazava os endereços de IP dos internautas que visitavam a página da empresa sem qualquer aviso aos usuários.

Assim, a Google tinha acesso a estes dados coletados pelo website da companhia, obtidos sem conhecimento e consentimento das pessoas, como exige a GDPR.

O vazamento de endereços de IP está sujeito a muitas estabelecidas pela GDPR já que, em teoria e possibilidade, endereços de IP podem ser usados para identificar um indivíduo, mesmo que o endereço de IP seja dinâmico (como foi o caso da decisão aqui citada).

O caso do Google Fonts reforça que endereços de IP são informações pessoais

Se um website coleta informações pessoais, deve haver um aviso (geralmente em banner ou pop up) para informar o usuário. No Brasil, a LGPD (Lei Geral de Proteção de Dados) também determina que os usuários sejam informados sobre quais dados são coletados e que tenham como consentir ou rejeitar o processo, além de outras informações que devem ser exibidas pela página.

Apesar de a fonte em questão ser hospedada no Google Fonts, há o recurso de hospedar a fonte diretamente no website, ao invés de usar a hospedagem da Google, o que corrigiria o problema do vazamento de dados em questão.

O caso da empresa que usava o recurso do Google Fonts e o vazamento de endereços de IP gerado pela fonte, assim como a decisão de multa com base na GDPR, reforçam a noção de que endereços de IP (Internet Protocol, ou “protocolo de internet”) são dados pessoais também protegidos pela legislação.

Casos e decisões semelhantes

Duas outras decisões recentes também se referem a esta questão de uso de serviços de terceiros adicionados aos websites, que podem coletar dados pessoais mesmo que aqueles que usam e incorporam estás ferramentas não saibam sobre esta coleta.

Em um deles, autoridades austríacas de proteção aos dados decidiram, em janeiro deste ano, que o uso da ferramenta Google Analytics pode configurar uma violação dos termos da GDPR.

Em dezembro de 2021, também houve a decisão de que a ferramenta de gerenciamento de cookies Akamai também compartilhava endereços de IP dos visitantes sem o consentimento deles.

Entretanto, as coisas são mais sérias do que a distração de uma empresa sobre a coleta de dados de um recurso web de terceiros.

A página “About” (sobre) disponibilizada pela Google Fonts não menciona a coleta de dados potencialmente sensíveis. Ainda falta muita transparência aos usuários, principalmente por parte de gigantes de tecnologia e mídias sociais.

Preocupações e cuidados com a privacidade online

As pessoas se importam cada vez mais com a privacidade de seus dados pessoais na internet. Há uma maior procura por ferramentas de VPN, por exemplo, além de outros recursos que ajudam a proteger informações pessoais, como endereços de IP.

Usuários devem proteger sua privacidade online e a integridade de suas informações sensíveis. E empresas, governos e qualquer outro tipo de serviço, página e plataforma deve informar de maneira transparente sobre coleta, armazenamento e distribuição de informações pessoais.

Antes de incorporar recursos de terceiros, baseados em web, é crucial se informar sobre o funcionamento destes recursos e seus efeitos sobre a privacidade dos usuários. Afinal, há a possibilidade de responsabilização mesmo que os recursos sejam de terceiros.