Audacity nega coleta de dados e explica política de privacidade

O Muse Group, novo responsável pelo Audacity, veio à público para negar que o software de edição de áudio pode coletar e compartilhar dados de usuários. De acordo com a empresa, a política de privacidade que citava essa possibilidade foi escrita de forma pouco clara, levando à preocupação dos usuários e incômodo entre os colaboradores do projeto de código aberto.

• Após aquisição, Audacity é acusado de espionar usuários
• Privacidade: a história por trás da importância dos dados sensíveis
• Dados de saúde se tornam ouro, mas privacidade nem sempre é respeitada

De acordo com Daniel Ray, diretor de estratégia do Muse Group, o Audacity faz uma checagem online, apenas, dos elementos necessários para checagem se há necessidade de atualização de software. Isso implica na coleta de informações como o sistema operacional do usuário, o tipo do processador usado, a versão do próprio software e os três primeiros octetos do endereço IP. Tais dados não são enviados aos servidores durante o uso do programa de edição, que permanece como uma solução offline.

No restante, a coleta de dados acontece com a clara anuência do utilizador e é relacionada, por exemplo, a relatórios de erro no software, que podem ser enviados à companhia a partir de uma janela que surge após um travamento e depende de interação. Tanto o comunicado publicado pelo executivo quanto uma atualização na política de privacidade são veementes na afirmação de que nenhuma outra informação, além das citadas, é transmitida para os servidores do Muse Group.

Ray também esclareceu que os números relacionados ao IP dos usuários são anonimizados e, de forma incompleta, não podem ser usados para identificação, assim como a telemetria relacionada ao hardware e software. As informações ficam armazenadas nos servidores de atualização da empresa por 24 horas e são deletadas após esse período.

O representante também afirma que as menções a agências de segurança e órgãos governamentais precisam constar na política de privacidade, por lei, nos países em que o Muse Group atua — o endereço IP, ainda que em partes, é considerado como um dado pessoal pela GDPR, a lei de proteção de dados da União Europeia. Por outro lado, Ray ressaltou que tais registros seriam compartilhados com as autoridades apenas sob mandado judicial, e além de não terem serventia devido à anonimização, não estão mais disponíveis após as primeiras 24 horas, impedindo que o Audacity seja alvo de pedidos desse tipo.

Por fim, o executivo aponta que, ainda que a política de privacidade tenha sido publicada em 2 de julho, ela somente se aplica ao Audacity da versão 3.03 em diante, uma atualização que ainda não foi lançada. Além disso, a empresa indica que qualquer pessoa pode verificar as informações da política de privacidade no código aberto do software.

Entenda o caso

As mudanças na política de privacidade do Audacity geraram alvoroço no início do mês, com sites especializados em código aberto chegando a acusar o software de funcionar como um spyware. A coleta de dados durante o uso, bem como a conexão a servidores, não é necessária para o funcionamento do software, que funciona gratuitamente e é bastante usado por podcasters e profissionais de mídia para edição de áudio.

Entre as menções dos novos termos estava a possibilidade de compartilhamento dos dados dos usuários com autoridades, auditores, conselheiros e compradores em potencial, sem que nenhum destes fosse citado diretamente. Nenhuma autorização explícita deveria ser dada pelo utilizador para isso, com o próprio uso do software já servindo como anuência.

As mudanças também azedaram ainda mais as relações entre os colaboradores da aplicação e o Muse Group, que já estavam se estranhando devido a uma cláusula que previa que todo desenvolvimento adicional pertenceria à empresa, sem compensação aos responsáveis. Além disso, com as alterações, o Audacity não poderia mais ser usado por menores de 13 anos — conforme regras da GDPR em aplicações que envolvem coleta de dados — o que iria contra a própria licença de código aberto que o programa utiliza.

O Canaltech tentou contato com o Muse Group em busca de mais informações sobre as políticas de privacidade, na época da publicação. A empresa respondeu com links para as notas de esclarecimento, mas não respondeu a novos contatos da reportagem.

Fonte: Daniel Ray (GitHub), Audacity