A maioria das pessoas já sabe que os anúncios que aparecem em sites e redes sociais são personalizados. É só pesquisar “aspirador de pó” uma vez para ficar semanas recebendo ofertas sobre eletrodomésticos. Mas será que as pessoas sabem o quanto os anunciantes realmente sabem sobre elas? A especialista em exploração de dados da organização Privacy International, Frederike Kaltheuner, resolveu fazer um teste: pediu à empresa de publicidade Quantcast todas as informações que tinham sobre ela.
Você pode nunca ter ouvido o nome Quantcast, mas provavelmente a Quantcast já ouviu (e muito) sobre você. A empresa, com base em São Francisco, coleta informações em tempo real sobre os usuários e afirma conseguir fazê-lo em mais de 100 milhões de sites.
É apenas uma das muitas empresas que fazem o direcionamento de anúncios na internet. Em um relatório de 2017, a Acxiom, outra empresa de coleta de dados, dizia oferecer informações sobre “aproximadamente 700 milhões de consumidores no mundo, e nossos produtos contêm mais de 5 mil elementos de dados de centenas de fontes”.
Empresas de publicidade e corretoras de dados têm silenciosamente coletado, analisado e vendido dados pessoais há décadas, diz Frederike. O que mudou recentemente, contudo, foi a granularidade e invasão de privacidade possíveis.
Os dados coletados em apenas uma semana impressionam. O resultado é uma planilha com mais de 5,3 mil linhas e 46 colunas de dados, incluindo URLs, marcadores de tempo, endereços de IP, informações sobre o navegador e mais.
“Saber que a empresa tem uma visão tão granular do meu consumo de notícias parece desconcertante”, diz Frederike. “Mas os sites em que a Quantcast rastreou meu acesso são apenas uma fração do que a empresa sabe sobre mim.” A empresa sabia o sexo e a idade de Frederike, estimou quantas crianças moram na casa dela (e as suas idades), o nível de escolaridade e sua renda bruta anual – em dólares e em libras.
O detalhamento das informações da Quantcast sobre Frederike, diz a especialista, sugere que os dados não foram obtidos apenas com corretoras de dados, como a Oracle, mas também com a Mastercard e serviços de crédito, como Experian. Algumas das categorias em que ela foi incluída são estranhamente específicas – como viagem e lazer no Canadá (ela diz que esteve no país recentemente, a trabalho), e transações frequentes em restaurantes que vendem bagel. Uma transação inclusive a colocou no grupo de consumidores que “gasta muito com álcool em casa”.
“Os anúncios parecem triviais, mas o escopo e a granularidade dos dados usados para personalizar a publicidade com precisão não são nada triviais”, diz ela. “É impossível para mim entender por que sou classificada e direcionada do jeito que sou; é impossível reconstruir em quais dados essas segmentações são baseadas e — o mais preocupante — é impossível saber se esses dados podem ser usados contra mim.”
A Quantcast é uma das várias empresas que terceirizam o monitoramento do comportamento online. Essas empresas, assim como Google e Facebook têm rastreadores em diversos sites em aplicativos, por isso conseguem “montar” seu perfil com base na sua atividade ao longo do dia. Os dados coletados sobre Frederike, por exemplo, dão ideias muito específicas sobre seu trabalho na Privacy International: apenas com o histórico do navegador, a empresa sabe que ela trabalho com tecnologia, segurança e privacidade.
Mas como as empresas sabem tanto sobre nós? Para todos os dados coletados, a Quantcast diz ter obtido autorização para realizar o rastreamento, apesar de não ter um relacionamento direto com as pessoas cujos dados estão sendo compilados – o que significa que as pessoas muitas vezes nem sabem o nome da empresa ou qual a finalidade da coleta e processamento dos dados de navegação.
“A Quantcast afirma que obteve meu (e provavelmente seu) consentimento porque em algum lugar, em algum site, eu devo ter clicado sem pensar na opção ‘aceito’. A razão pela qual fiz isso é porque os chamados ‘formulários de consentimento’ são projetados especificamente para fazer com que você clique em ‘aceito’, simplesmente porque é extremamente tedioso e desnecessariamente demorado não aceitar rastreamento”, escreve Frederike. Para a Privacy International, aliás, isso é uma violação da Regulação Geral de Proteção de Dados (GDPR, na sigla em inglês), em vigor na União Europeia. A regra exige que o consentimento seja espontâneo e específico.
Outro serviço vendido pela Quantcast é uma “solução de consentimento” para sites – um exemplo, segundo a especialista, de técnicas para incentivar o usuário a clicar na opção “aceito” para práticas invasivas. Frederike usa como exemplo uma janela em que o título é “Nós valorizamos sua privacidade”. Logo abaixo, o site diz: “nós e nossos parceiros usamos tecnologias como cookies em nosso site para personalizar o conteúdo e anúncios, fornecer recursos de mídias sociais e analisar o tráfego. Clique abaixo para consentir com o uso dessas tecnologias na internet. Você poderá mudar suas opções de consentimento a qualquer momento”. Abaixo, depois de um grande botão de “eu aceito”, está um link com a chamada “mostrar razões”. Apenas depois de clicar nessa pequena opção, e depois na alternativa “Veja a lista completa de fornecedores”, na próxima janela, o usuário tem a real noção do que está aceitando: uma lista de centenas de empresas que estarão habilitadas a coletar os dados de navegação.
O problema é que os dados podem ser usados para influenciar e manipular todas as pessoas com precisão. Alguns anos atrás, lembra Frederike, uma empresa de publicidade dos Estados Unidos conseguiu focar em “mulheres a favor do aborto” e enviá-las mensagens contrárias ao procedimento enquanto estavam no hospital. “Isso mostra que é tecnicamente possível mirar em grupos muito específicos em momentos específicos e locais específicos.”
