Matheus Botsman Kasputis*
Luiz Felipe Sundfeld Ibrahim**
A Pesquisa TIC Domicílios 2021 demonstra que os celulares já são os principais dispositivos de navegação dos lares brasileiros. Utilizados por 99% dos usuários da internet, os celulares assumiram vantagem absoluta sobre os computadores e as televisões na pesquisa coordenada pelo Cetic.br. Hoje, é por meio de aplicativos mobile que o brasileiro aproveita grande parte dos serviços de comunicação e de multimídia e, em certa medida, acessa atividades essenciais, como serviços de saúde e serviços financeiros.
Com o desenvolvimento dos smartphones, o ecossistema de aplicativos mobile se organizou em um arranjo único formado por desenvolvedores de aplicativos (publishers), lojas de aplicativos (marketplaces) e estruturas de terceiros. Entre esses players, são construídos fluxos de informações próprios em torno do aplicativo mobile, de maneira que a coleta, o compartilhamento e o tratamento de dados sobre os usuários dessas aplicações oferecem novas possibilidades comerciais ao setor.
De fato, certas tecnologias de hardware desenvolvidas para smartphones, como sensores de movimento e leitores biométricos, garantem novas possibilidades de usos para dados pessoais na forma, por exemplo, de aplicativos de saúde e bem-estar ou segurança. Também, a interoperabilidade entre recursos provida pelo sistema operacional facilita a troca de dados entre aplicações, permitindo o acesso de desenvolvedores a contatos, galerias de fotos, geolocalização, mensagens de texto, calendários e outras aplicações do usuário.
Enfim, com os usuários armazenando cada vez mais informações em seus smartphones sobre as várias esferas de suas vidas, e com o incremento das possibilidades tecnológicas para a coleta e o compartilhamento dessas informações, são crescentes as preocupações com a privacidade dos usuários. Nesse sentido, diversas mudanças técnicas e contratuais vêm sendo promovidas, principalmente pelas lojas de aplicativos, refletindo essas preocupações.
Lojas de aplicativos mobile e regulação privada
As principais lojas de aplicativos utilizadas pelo mercado são a App Store, da Apple, e a Google Play, do Google. Por questões de marca e de responsabilidade jurídica, essas lojas de aplicativos têm diretrizes próprias estabelecendo regras para o desenvolvimento de aplicações, entre as quais são cada vez mais comuns disposições rígidas sobre privacidade e proteção de dados pessoais.
Segundo dados de 2021, a Apple removeu mais de 343.000 aplicativos da App Store considerando violações à privacidade dos usuários. Recentemente, o Google também divulgou o bloqueio da publicação de 1,2 milhões de aplicativos na Google Play que violaram as diretrizes da loja. O processo de revisão de aplicativos, de acordo com as informações de tais empresas, é conduzido por algoritmos de inteligência artificial (machine learning) e pode ser combinado com revisões humanas.
A implementação e fiscalização das regulações privadas sobre proteção de dados (como diretrizes de lojas de aplicativos) age como incentivo ou complemento aos requisitos legais já existentes, tornando necessário que desenvolvedores dediquem recursos para avaliar previamente a existência de riscos à privacidade dos usuários.
Riscos comuns de privacidade e proteção de dados em aplicativos mobile
Os riscos de privacidade e proteção de dados existentes dependem das particularidades do aplicativo desenvolvido e das categorias de dados coletadas. No geral, os desenvolvedores devem conhecer os riscos mais comuns de privacidade e proteção de dados, conforme as diretrizes das lojas de aplicativos e a legislação brasileira aplicável, para evitar imprevistos nas fases de lançamento e execução das plataformas. Listamos a seguir alguns desses riscos.
Tecnologias de terceiros
Os desenvolvedores de aplicativos são responsáveis por quem contratam e pelas tecnologias que utilizam, incluindo ferramentas como SDKs e APIs. Em 2019, por exemplo, uma empresa varejista alemã, do segmento de moda, foi considerada responsável pelo compartilhamento de dados com o Facebook por meio de seu website, o que ocorria indiretamente pela SDK relacionada ao botão “curtir” utilizado pela empresa.
Esse aspecto é frequentemente reforçado pelas diretrizes das lojas de aplicativos. Dessa forma, fornecedores de tecnologias não devem ser escolhidos às cegas pelos desenvolvedores: a escolha de um fornecedor deve passar por avaliações prévias e análises de risco sérias, considerando os meios menos invasivos à privacidade dos usuários.
Falta de transparência e acessibilidade
A transparência e a acessibilidade são os aspectos centrais para a garantia ao usuário do controle de seus dados pessoais. Nesse sentido, a Apple e o Google passaram a exigir que os desenvolvedores elaborem uma Política de Privacidade para o usuário e revelem quais dados pessoais sobre ele serão utilizados na plataforma, como ocorre nos rótulos nutricionais de alimentos.
Muito mais, em alguns casos, os desenvolvedores deverão observar se durante a jornada do usuário na plataforma há ou não interfaces que possam conter informações ambíguas, redundantes ou obscuras sobre a coleta de dados pessoais. Deverão então, por exemplo, evitar os chamados dark patterns e optar pela implementação de avisos de privacidade (just-in-time notices) ou outros mecanismos de transparência.
Eliminação de dados e outros direitos dos usuários
As leis de proteção de dados garantem uma série de direitos aos titulares de dados, assim permitindo, por exemplo, que estes solicitem a eliminação das informações coletadas sobre eles na plataforma. Esse direito é refletido, muitas vezes, sob a exigência de que os desenvolvedores permitam ao usuário excluir a conta cadastrada no aplicativo.
Vale mencionar, contudo, que a exclusão da conta ou de determinado dado vinculado ao usuário pode ser difícil tecnicamente, considerando a estruturação das bases de dados utilizadas. Os desenvolvedores deverão antecipar essas demandas e analisar os meios que serão empregados para atender a requerimentos de eliminação dos dados por parte dos usuários ou considerar as alternativas aplicáveis aos cenários em que houver impossibilidade técnica de atendê-los no todo ou em parte.
Consentimento
O consentimento não é a única base legal prevista na legislação brasileira para o uso de dados pessoais. Enquanto as diretrizes das lojas de aplicativos reconhecem isso e permitem que os desenvolvedores coletem, em certa medida, dados pessoais sem o consentimento, algumas finalidades de uso exigirão a autorização prévia do usuário por meio de arquiteturas específicas, como permissionamentos (permissions).
Os desenvolvedores deverão avaliar, em particular, se usos como rastreamentos ou acesso às listas de contato, galerias de foto, microfones e geolocalização do usuário podem requerer seu consentimento, seguindo as diretrizes específicas das lojas de aplicativo.
Uso excessivo de dados
Uma forma comum de as lojas de aplicativos minimizarem riscos a elas é limitar a quantidade de dados pessoais a que os desenvolvedores têm acesso. Em geral, essa é uma reprodução do princípio da necessidade (ou minimização) previsto nas leis de proteção de dados, pelo qual os dados pessoais coletados devem ser somente os pertinentes, proporcionais e não-excessivos.
Na fase de desenvolvimento do aplicativo deverá ser questionado, por exemplo, se o acesso à localização precisa seria necessário ou, apenas, se seria suficiente a localização aproximada do usuário para a implementação de certa funcionalidade. Os desenvolvedores, além disso, deverão permitir que o usuário utilize a plataforma sem cadastro prévio e sem fornecer dados cadastrais, caso isso seja possível, de acordo com as funcionalidades oferecidas.
Conclusão
A valorização crescente dos aplicativos mobile na vida digital dos usuários eleva a preocupação das lojas de aplicativos com a proteção dos dados que circulam nesse ecossistema. Esse aspecto, por sua vez, afeta a concepção e o desenvolvimento de novos produtos, que devem seguir diretrizes específicas da legislação brasileira e das lojas de aplicativos.
Uma solução que pode ajudar desenvolvedores ao longo desse processo é a adoção da metodologia privacy by design, desde o início do ciclo de desenvolvimento do aplicativo. A premissa do privacy by design é que, por meio da aplicação de certos princípios, a privacidade possa se integrar harmonicamente ao design de qualquer produto.
A adoção dessa metodologia, aliada ao monitoramento constante de riscos e ao assessoramento jurídico qualificado, contribuirá com a construção de um aplicativo focado na privacidade e proteção dos dados dos usuários e alinhado com os interesses comerciais da empresa proprietária.
*Matheus Botsman Kasputis: Advogado no Baptista Luz Advogados, atua com ênfase no consultivo de privacidade e proteção de dados pessoais. Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Contato: [email protected].
**Luiz Felipe Sundfeld Ibrahim: Estagiário no Baptista Luz Advogados. Graduando em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP).
