Memorando interno aponta que Facebook pretende "normalizar" vazamentos de dados

Um memorando interno do Facebook mostra como sua equipe de relações-públicas pretende "aliviar" a barra da empresa quanto ao vazamento de dados que teria atingido 533 milhões de usuários da plataforma e divulgado no começo de abril. Segundo o site belga de tecnologia Datanews, a estratégia da companhia seria "normalizar o fato de que tais vazamentos acontecem regularmente".

Um parágrafo do memorando, capturado pela Datanews delineou a estratégia de longo prazo do Facebook para lidar com dados de usuários que estão sendo copiados e expostos online. Segundo o departamento de RP da companhia:

"ESTRATÉGIA DE LONGO PRAZO: presumindo que o volume [de cobertura] da imprensa continue diminuindo, não estamos planejando declarações adicionais sobre esse problema [vazamento de dados]. No longo prazo, porém, esperamos mais incidentes [de vazamentos] e achamos que é importante enquadrar isso como um problema amplo do setor e normalizar o fato de que essa atividade acontece regularmente. Para isso, a equipe está propondo um post de acompanhamento nas próximas semanas que fale mais amplamente sobre nosso trabalho anti-scraping [raspagem de dados] e forneça mais transparência em torno do trabalho que estamos fazendo nesta área. Embora isso possa refletir um volume significativo de atividade de scraping, esperamos que ajude a normalizar o fato de que essa atividade está em andamento, evitando críticas de que não estamos sendo transparentes sobre incidentes específicos."

O site Business Insider entrou em contato com um porta-voz do Facebook que confirmou que o memorando era autêntico. Segundo ele:

"Estamos empenhados em continuar a educar os usuários sobre a coleta de dados. Entendemos as preocupações das pessoas, e é por isso que continuamos a fortalecer nossos sistemas para dificultar o uso do Facebook sem nossa permissão e perseguir as pessoas por trás disso. É por isso que dedicamos recursos substanciais para combatê-lo e continuaremos a desenvolver nossas capacidades para ajudar a ficar à frente desse desafio."

Ainda de acordo com o Datanews, o memorando interno que trazia o trecho acima foi destinado à equipe de RP do Facebook na Europa, Oriente Médio e África (EMEA) e orientava o posicionamento destas em relação ao vazamento das informações.

O restante da correspondência inclui referências a um plano de comunicação mais amplo sobre o incidente, com declarações que os porta-vozes locais estão autorizados a dar. Ainda no e-mail, há também a comunicação sobre a portabilidade de dados do usuário, que foi adiada para 22 de abril.

Confirmação do data scraping e alerta

Alguns dias depois da divulgação do vazamento, o Facebook veio a público e, inicialmente, minimizou o episódio, dizendo que o mesmo já havia sido relatado anteriormente e reforçando que ele era o resultado de uma raspagem de dados (data scraping) e não da ação de um hacker.

No blog oficial da rede social, Mike Clark, diretor de gerenciamento de produtos do Facebook, explicou que o Scraping é uma tática comum, que geralmente depende de softwares automatizados para obter informações públicas da Internet que podem acabar sendo distribuídas em fóruns online". Além disso, a empresa também afirmou que não notificará os usuários cujos detalhes foram revelados.

Na época do vazamento, o Facebook também afirmou que o problema de raspagem de dados foi descoberto e resolvido em agosto de 2019. No entanto, o Datanews afirma que a data é incorreta. Segundo a página, o hacker ético Inti De Ceukelaire avisou a empresa em janeiro de 2017 que era possível descobrir o número de telefone de alguém pelo Facebook. Em seguida, ele ressaltou que é possível importar até dez mil contatos por vez.

O Facebook então respondeu a ele dizendo que este não era um problema sério, permitindo que, por mais de um ano, fosse possível fazer upload de números de telefone e endereços de e-mail aleatórios para a rede social e ver a qual perfil eles pertencem. O Facebook só anunciou medidas para limitar isso em 4 de abril de 2018. Mas, claramente, a medida foi insuficiente, porque outras foram tomadas um ano depois.

Reação de autoridades

A resposta do Facebook ao vazamento atraiu críticas de especialistas em segurança mundo todo. No dia 14 de abril, a União Europeia, mais precisamente a Comissão de Proteção de Dados (DPC, na sigla em inglês) informou que abriu uma investigação para saber se a empresa feriu regras de tratamento de dados. Se o órgão considerar que o Facebook realmente violou a lei, a UE pode aplicar uma multa equivalente a 4% da receita global da companhia. No total, isso daria cerca de US$ 3,4 bilhões.

O memorando obtido pela Datanews dizia que a equipe de comunicação do Facebook havia recebido um "grande número de consultas regulatórias de todo o mundo.". Isso indica que outros países estão monitorando de perto o episodio e podem tomar outras ações contra a rede social caso julguem que os usuários foram expostos de forma indevida.

Já no Brasil, o Procon-SP notificou o Facebook sobre o episódio. A empresa deveria confirmar se houve o incidente e, em caso positivo, explicar os motivos que o desencadearam. O prazo para isso foi até o dia 09 de abril.

Na notificação o Procon-SP pede que a empresa detalhe qual a finalidade e a base legal para o tratamento de dados pessoais de cidadãos brasileiros pelo Facebook; no caso de necessidade de consentimento, explique como esse foi obtido; informe sobre as medidas adotadas para o cumprimento da Lei Geral de Proteção de Dados, sobre a política de descarte de dados e de tempo de armazenamento.

Se confirmado o incidente, o Facebook deverá ainda esclarecer quais medidas tomou para conter o incidente e o que pretende fazer para reparar os danos decorrentes e evitar que a falha aconteça novamente.

A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro do ano passado, disciplina as regras sobre o tratamento e armazenamento de dados pessoais e protege os direitos fundamentais de liberdade e de privacidade. O Código de Defesa do Consumidor – Lei Federal 8.078/90 – dá garantias ao consumidor e prevê sanções para empresas que desrespeitem a legislação.

O Procon-SP ainda não divulgou se as explicações dadas pela empresa foram suficientes.

Leia também:

• Facebook | Dados de 533 milhões de usuários vazam; veja se você foi afetado
• Facebook se pronuncia sobre vazamento de 533 milhões e confirma “data scrapping”
• União Europeia pode multar Facebook em mais de US$ 3 bi por vazamento de dados

Fonte: Datanews