Procon-SP notifica Facebook sobre vazamento de dados no Instagram

Nesta terça-feira (20), o Procon-SP notificou o Facebook pedindo explicações sobre uma matéria do jornal britânico Telegraph, em que a companhia é acusada de ter exposto dados de perfis de menores de idade - cerca de cinco milhões de contas. Isso porque esse perfil de público teve e-mails e telefones vazados após usarem contas corporativas da rede social, que expõem esse tipo de informação.

• Europa investiga Instagram por uso indevido de dados de crianças
• Ministério Público abre primeira ação civil pública baseada na LGPD
• LGPD (quase) em vigor e as lições para o Brasil após 2 anos de GDPR na Europa

Segundo a entidade, o Facebook / Instagram deve apresentar as seguintes informações:

• se é feita comunicação de forma ostensiva aos usuários de que seus dados serão coletados ao ingressarem na sua rede;
• quais tipos de dados são coletados e se é solicitado de forma ostensiva aos seus usuários o consentimento para essa coleta;
• se seus usuários são informados sobre o tratamento que será aplicado aos seus dados, tais como coleta, compartilhamento, armazenamento ou finalidades empresariais entre outra;
• se as publicações realizadas pelos usuários, além de armazenadas em seus dispositivos, ficam também hospedadas pela empresa; por quanto tempo; com qual finalidade; de que forma essas publicações podem ser acessadas e quais os procedimentos e sistemas de proteção contra invasão ou vazamento de dados;
• se a hospedagem dos dados de seus usuários é realizada no Brasil, caso contrário onde estão armazenadas;
• se para a efetivação dos mecanismos de segurança o usuário precisa realizar algum procedimento em seu dispositivo e, em caso positivo, se essa informação é prestada de forma ostensiva;
• se a falha noticiada também ocorreu no Brasil, neste caso, quantos usuários foram atingidos e quais as providências adotadas;
• se está adequada à regulamentação da lei geral de proteção de dados (Lei 13719/2018) para continuar a disponibilizar o serviço em território nacional;
• se pode demonstrar que, quando o consumidor aceita os termos de condições de uso do aplicativo, o armazenamento, a utilização e segurança de seus dados já estão em conformidade com as diretrizes da Lei Geral de Proteção de Dados;
• se compartilha as informações pessoais e sensíveis dos usuários com seus parceiros comerciais e, em caso positivo, quais os critérios usados;
• se adota também no Brasil, os padrões europeus de informar claramente aos usuários sobre a política de uso de dados pessoais, transparência, informação satisfatória e consentimento válido.

Ainda de acordo com o Procon-SP, o Facebook tem 72 horas para responder os questionamentos, a partir deste terça-feira.

Entenda o caso

Em 2019, o analista de segurança David Stiers afirmou que o Instagram havia liberado que menores de idade pudessem trocar suas contas pessoais para perfis empresariais. Ao fazer isso, os usuários podem verificar dados de visitação e engajamento, algo de enorme interesse de adolescentes. No entanto, neste tipo de perfil, os dados ficam expostos na plataforma e sujeitos a acessos via código HTML, já que, antes, não havia esse bloqueio.

Com essa brecha, um site chegou a compilar as informações de contato de menores em meio a tantos outros de perfis de adultos, o que mostra problemas séries de proteção do Instagram às contas infantis. Ainda que a rede social afirme que sempre foi clara quanto aos dados dos usuários que são exibidos ao se optar por um perfil comercial, ela tomou algumas medidas. Uma das principais delas é que os usuários, agora, podem optar por não incluir suas informações de contato. Além disso, a rede social não incorpora mais informações de contato no código-fonte de suas páginas e vem excluindo perfis de menores de 13 anos de forma compulsória.

No entanto, a questão chamou a atenção da Comissão de Proteção de Dados da Irlanda (DPC na sigla em inglês), que iniciou a investigação para ver se o Facebook, dono do Instagram, tem o direito legal de utilizar os dados pessoais de crianças. O órgão também está checando se a empresa ofereceu restrições e camadas de proteção suficientes para garantir a proteção dos menores de idade.

Caso seja concluído que o Facebook tenha burlado a GDPR (a lei de proteção de dados europeia), a empresa pode receber uma multa bilionária, de até 4% do seu faturamento total. E vale lembrar que a União Europeia é conhecida por seu tratamento rígido junto as Big Techs.