Foram utilizados dados de localização baseados em aplicações contra indivíduos. E isto representa riscos reais para esses indivíduos e para organizações.
Por Christopher Burgess
O mercado da localização é enorme e está em crescimento. Os dados são recolhidos pelo fornecedor de rede, pelas aplicações nos dispositivos inteligentes e websites com os quais se relaciona. É o Santo Graal do marketing e a banalidade da segurança cibernética.
Empresas que produzem algoritmos de localização estão a montar o foguete do marketing hiperpersonalizado, que continua a expandir-se a uma velocidade de cortar a respiração. No outono de 2021, a Grandview Research estimou que só o mercado dos EUA seria de aproximadamente 14 mil milhões de dólares e esperava uma expansão a uma taxa de crescimento anual composta (CAGR) de 15,6%, entre 2022 e 2030.
Com projeções de crescimento desta magnitude, o segmento é sem dúvida considerado um sector em que se pode participar. É outro exemplo de que a infraestrutura robusta e de ponta de apoio aos departamentos de TI e segurança apresenta regularmente novos desafios.
Perigos da partilha de dados de localização
O longo rasto de dados que os seus empregados deixam quando agregados pode fornecer aos concorrentes um meio aberto de inferir os esforços de investigação e desenvolvimento da sua empresa, identificando instâncias públicas dos seus segredos comerciais e catalogando a localização dos seus empregados e bens empresariais. Podem ser tão inócuos como quem participa na convenção de clientes da empresa, a quem está a trabalhar no último widget que cortará o pão de forma de maneira diferente, ou o padrão de envolvimento e movimento executivo antes ou durante as crises. Todos estes elementos são esperados no mundo da inteligência competitiva.
Outro desafio que os engenheiros e aqueles que apoiam estas aplicações e algoritmos podem não ter tido em conta é como a informação pode ser utilizada contra indivíduos e não em benefício do indivíduo. Contudo, esta é a questão no contexto do Roe v. Wade perante o Supremo Tribunal dos EUA e as várias leis antiaborto que foram aprovadas em alguns dos estados dos EUA.
De facto, o artigo da revista Vice, “Data Broker Is Selling Location Data of People Who Visit Abortion Clinics”, observou como “custa pouco mais de 150 euros para obter uma semana de dados sobre de onde vieram as pessoas que visitaram a Planned Parenthood e para onde foram a seguir”. O artigo prossegue para identificar a entidade que vende os dados, a SafeGraph: “A SafeGraph acaba por obter dados de localização a partir de aplicações comuns instaladas em telefones. Muitas vezes os programadores de aplicações instalam o código nas suas aplicações, chamado kit de desenvolvimento de software (SDK), que envia os dados de localização dos utilizadores a empresas em troca de pagamento ao programador”. Enquanto que a Safeguard se recusou a comentar ao Vice, o CEO emitiu uma negação num tweet.
A diretora de investigação do Projeto de Supervisão da Tecnologia de Vigilância, Eleni Manis, comentou como o relatório da organização sobre a utilização da tecnologia para rastrear as mulheres “estabelece as medidas que os prestadores de serviços de aborto e as empresas de tecnologia devem tomar para melhorar a proteção da privacidade das mulheres grávidas, ao mesmo tempo que delineia as medidas que as mulheres grávidas podem tomar para se protegerem da vigilância digital”.
O Markup fez um mergulho profundo na indústria e localizou 47 empresas diferentes envolvidas no setor da localização de dados, em setembro de 2021. O seu artigo destacou como os dados de uma aplicação de oração muçulmana foram vendidos a contratantes militares. Um meio de comunicação católico utilizou os dados para localizar um padre gay que frequentava bares gay. Outra empresa de dados vendeu dados ao governo dos EUA para serem utilizados no apoio à vigilância da imigração. Noutros locais, os meios de comunicação social foram alvo de avisos de que as aplicações utilizadas pelas mulheres para acompanhar os seus períodos menstruais estavam a ser recolhidas, para identificar aquelas que poderiam estar grávidas, por entidades antiaborto e por forças da lei de alguns estados.
SDKs para adicionar rastreio de localização a outras aplicações
A conclusão mais interessante do artigo é a clareza da sua explicação de como vários agregadores de dados criam SDKs que estão disponíveis para licenciamento, muitas vezes sem custos, para integração na aplicação de uma entidade. Desta forma, os criadores da aplicação têm a funcionalidade fornecida pelo SDK e a empresa que desenvolveu o SDK está a recolher os dados para a sua utilização.
Pressão crescente para regular a utilização de dados de localização
A recolha e utilização de dados para identificar mulheres grávidas que podem exercer as suas escolhas de saúde, o que parece um episódio grotesco, foi a ultima gota. Uma carta à presidente da Federal Trade Commission (FTC), Lina Khan, assinada por 16 senadores, apelou à FTC para investigar este sector sub-regulamentado. Que medidas está a FTC a tomar para garantir aos indivíduos o direito de rever e apagar a sua informação online, como já está a ser regulamentado na Europa, e para os ajudar caso os seus dados sejam vendidos ou se forem vítimas de uma violação?
Como planeia a FTC atenuar os danos causados pelas aplicações para telemóveis que são desenvolvidas para recolher e vender dados de localização? Como educa a FTC os indivíduos sobre como identificar as aplicações que recolhem e vendem os seus dados de localização?
O que está a FTC a fazer para coordenar com o Departamento de Justiça, estados e localidades, prestadores de cuidados de saúde e intervenientes privados para impedir que os corretores de dados e outros acedam às informações pessoais das mulheres e às decisões sobre cuidados de saúde?
A FTC precisa de recursos adicionais para melhor proteger as mulheres da compra e divulgação dos seus dados pessoais de localização?
Embora a carta peça à FTC que dê respostas, as perguntas devem também servir para orientar todas as empresas envolvidas no desenvolvimento de ofertas comerciais ou na criação de SDK para que outras as incorporem. Na Europa, a regulamentação da proteção de dados limita grandemente a possibilidade de tais práticas por parte de empresas e instituições, embora isso não nos garanta que elas irão realmente acontecer.