O Google expôs dados pessoais de centenas de milhares de usuários de sua rede social Google+ e optou por não revelar o ocorrido, no primeiro trimestre deste ano, de acordo com pessoas informadas sobre o incidente e com documentos examinados pelo The Wall Street Journal.
A decisão de não divulgar a informação foi tomada por receio de chamar a atenção de reguladores e prejudicar a reputação da empresa.
A divisão Google do grupo Alphabet anunciou um conjunto de medidas de proteção à privacidade de dados, o que inclui acabar com o Google+.
A decisão é o prego final no caixão de um produto lançado em 2011 para desafiar o Facebook e visto como um dos maiores fracassos do Google.
Um defeito no software do site social deu a desenvolvedores externos acesso potencial a dados pessoais de usuários do Google+, entre 2015 e março de 2018.
Investigadores internos da empresa descobriram e consertaram o problema, de acordo com os documentos e com pessoas próximas ao caso.
Um memorando preparado pela equipe jurídica e de políticas públicas do Google, distribuído a executivos da empresa e visto pelo The Wall Street Journal, revelava que o incidente despertaria “interesse regulatório imediato”.
A equipe temia comparações com o uso irregular de dados de usuários do Facebook pela a consultoria política Cambridge Analytica, que também ocorreu em março.
Sundar Pichai, presidente-executivo do Google, foi informado sobre o plano de não notificar os usuários depois que um comitê interno chegou à decisão, disseram as fontes.
O fechamento planejado do Google+ é parte de uma revisão mais ampla das práticas de privacidade do Google, que determinou que a empresa precisa de controles mais rigorosos em diversos de seus produtos, informaram as pessoas.
Em um anúncio nesta segunda-feira (8), a companhia comunicou que pretende restringir o acesso de desenvolvedores externos aos dados pessoais de usuários dos smartphones Android e do Gmail.
O episódio envolvendo o Google+ mostra os esforços da empresa para evitar escrutínio público sobre a maneira com a qual lida com as informações sobre seus usuários.
Nesse momento, autoridades regulatórias e organizações de defesa do consumidor vêm conduzindo uma campanha para cobrar os gigantes da tecnologia pelo vasto poder que exercem sobre os dados de bilhões de pessoas.
A trapalhada ameaça prejudicar a reputação do Google com relação à privacidade. A empresa já afirmou publicamente que era menos suscetível a gafes como a que abalou o Facebook.
Também pode complicar as tentativas do Google para evitar medidas desfavoráveis de regulamentação em Washington. Recentemente, Pichai concordou em depor no Congresso, o que acontecerá nas próximas semanas.
“Sempre que dados de usuários possam ter sido afetados, vamos além dos requisitos da lei e aplicamos diversos critérios com foco em nossos usuários, para determinar se eles devem ou não ser notificados”, afirmou um porta-voz do Google em comunicado.
Ao ponderar se deveria ou não revelar o incidente, a empresa considerou “se era capaz de identificar precisamente que usuários informar, se havia qualquer prova de uso indevido dos dados e qualquer ação que um desenvolvedor ou usuário poderia tomar em resposta”, afirmou.
“E, nesse caso, nenhuma das condições para notificação foi satisfeita”, disse o porta-voz.
O memorando interno do Google diz que a empresa não tem provas de que desenvolvedores externos tenham usado os dados, mas também reconhece que não havia como saber isso com certeza.
Os dados dos perfis pessoais expostos incluíam nomes, endereços de email, datas de nascimento, sexo, fotos, locais de moradia, ocupação e status de relacionamento.
Não incluíam números de telefone, mensagens de email, publicações no Google+ ou qualquer outra modalidade de dado de comunicação.
O Google oferece a desenvolvedores externos acesso aos dados de seus usuários por mais de 130 canais públicos diferentes, conhecidos como interfaces de programação de aplicativos, ou APIs.
Essas ferramentas em geral requerem permissão do usuário para acesso a quaisquer dados, mas podem ser usadas por agentes inescrupulosos que se façam passar por desenvolvedores a fim de acessar dados pessoais delicados.
Um grupo de trabalho sobre privacidade formado pelo Google, sob o codinome Project Strobe, conduziu uma auditoria geral dos APIs da empresa, nos últimos meses, de acordo com pessoas informadas sobre o acontecido. A equipe é formada por mais de cem engenheiros, gerentes de produtos e advogados.
O Google não permitirá mais que a maioria dos desenvolvedores externos tenha acesso a dados sobre mensagens de SMS, dados de registros de chamadas telefônicas e algumas formas de dados de contato em celulares Android.
O Gmail só deixará que alguns poucos desenvolvedores continuem a criar extensões para seu serviço de email, disseram as fontes.
O Google sofreu pressão para restringir o acesso de desenvolvedores ao Gmail, meses atrás, depois que o Wall Street Journal descobriu que desenvolvedores usavam apps gratuitos de email a fim de obter consentimento dos usuários para acessar suas caixas de mensagens, sem informar que dados seriam recolhidos.
Em alguns casos, empregados desses produtores de apps leram mensagens de email de usuários do Gmail, com o objetivo de melhorar os algoritmos de software que estavam desenvolvendo.
No passado, o Google impunha poucas restrições à maneira pela qual aplicativos externos acessavam dados de usuários, desde que estes tivessem concedido permissão.
O problema do Google+ resultou de uma falha na API que ajudava desenvolvedores a acessar informações de pessoas que que usassem seus apps, bem como de amigos do Google+ desses usuários.
Quando alguém concede permissão de acesso a um desenvolvedor, qualquer dado que tenha inserido em um perfil do Google+ pode ser recolhido pelo desenvolvedor.
O grande problema é que, em março, o Google descobriu que o Google+ permitia que os desenvolvedores captassem dados de usuários que não haviam permitido tê-los compartilhado com terceiros.
A empresa constatou que 496.051 usuários que haviam compartilhado dados de seus perfis com amigos tiveram os acessados por desenvolvedores externos, disse uma fonte.
Alguns dos indivíduos que tiveram dados expostos a potencial uso indevido eram clientes pagantes do G Suite, pacote de ferramentas de produtividade que inclui o Google Docs e o Google Drive, a pessoa informou. Até 438 aplicações podem ter tido acesso a dados não autorizados do Google+.
Não existe lei federal que determine a obrigação de notificação, nos EUA, e por isso as empresas precisam lidar com uma colcha de retalhos de leis estaduais, disse Al Saikali, advogado do escritório Shook, Hardy & Bacon.
O Regulamento Geral de Proteção de Dados da União Europeia, que entrou em vigor em maio, requer que empresas notifiquem casos de violação a autoridades em até 72 horas. A multa pode chegar a 2% do faturamento mundial da companhia.
As informações expostas por meio das APIs do Google são pessoais. Como o problema foi descoberto em março, o incidente não valeria para as novas normas europeias, disse Saikali. Segundo ele, o Google poderia ter de enfrentar ações judiciais coletivas.