O aplicativo de relacionamentos gay Grindr compartilhou dados de usuários, inclusive os status de HIV, com outras empresas.

A denúncia foi originalmente feita pela ONG norueguesa SINTEF e publicada pelo site Axios. A informação sobre HIV era enviada pelo Grindr junto com dados de GPS, telefone e e-mail do usuário, para duas companhias contratadas para monitorar como o programa é usado e desenvolver formas de aprimorá-lo.

1 de 1 Aplicativo de relacionamentos Grindr — Foto: Divulgação Aplicativo de relacionamentos Grindr — Foto: Divulgação

O SINTEF explicou que, desta forma, seria possível identificar os usuários. "O status de HIV estava ligado a todo resto, esse é o principal problema", disse a organização ao site BuzzFeed.

O Grindr confirmou que, de fato, compartilhava estes dados com as empresas Apptimize e Localytics e, em um comunicado enviado à BBC Brasil, defendeu que essa é uma prática comum na indústria de aplicativos para lançar novas funcionalidades e resolver problemas.

"Qualquer informação que fornecemos a nossos parceiros de software, inclusive o status de HIV, é criptografada, e em nenhum momento compartilhamos dados sensíveis como o status de HIV com anunciantes", disse a empresa.

Antoine Pultier, cientista da SINTEF que detectou o envio desses dados, explicou à BBC Brasil que conseguiu "quebrar a criptografia" usada para garantir a segurança das informações. "Criamos dois usuários falsos e, com a ajuda de um computador, um programa e dois celulares, interceptamos a transmissão das informações."

O Grindr não esclareceu se dados de usuários brasileiros também eram compartilhados com terceiros. Diante da polêmica, a empresa anunciou ter parado de enviar essas informações para outras empresas.

"Esse é mais um incidente de uma série que faz aumentar ainda mais a preocupação com a forma como dados pessoais são coletados, armazenados e usados por várias plataformas", diz Carlos Affonso, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio).

"Neste caso, a diferença é que ser portador do vírus HIV é uma das informações mais sensíveis que se pode ter, e isso requer um tratamento especial."

Testes

O Grindr foi criado em 2009 e é o aplicativo de encontros para o público gay mais popular atualmente, com 3,6 milhões de usuários em todo o mundo.

Entre os dados que eles podem escolher colocar em seu perfil, que é público para qualquer pessoa que tenha o programa, estão o status de HIV, dizendo se são soropositivos ou não, se estão se medicando para conter a contaminação ou fazendo um tratamento de prevenção conhecido como PrEP. O usuário também pode informar a última data em que foi testado.

Neste caso, a empresa compartilhou dados para testar uma nova função que alerta o usuário para fazer o exame de HIV a cada três a seis meses.

"Quando o teste foi completado, qualquer informação relacionada ao status de HIV foi removido da Apptimized e estamos discutindo sua remoção da Localytics", disse a companhia.

Uma análise da SINTEF mostrou que o Grindr compartilhou a posição exata de GPS do usuário, sua tribo (com qual grupo do universo gay o dono do perfil mais se identifica), orientação sexual, status de relacionamento, etnia e telefone.

A companhia diz que os serviços fornecidos pelas duas empresas são usados por milhares de empresas e que essas práticas são um padrão do mercado de aplicativos. Também destaca que o compartilhamento de dados ocorre sob confidencialidade contratual e que as empresas são obrigadas a garantir a segurança das informações e a privacidade dos usuários.

"Nenhuma informação é vendida a terceiros", disse Scott Chen, diretor de tecnologia do Grindr, ao BuzzFeed.

'Claúsula genérica'

Mas críticos da empresa dizem que o caso levanta questões sobre sua política de privacidade. Esses termos dizem que, ao tornar seu perfil público, o usuário torna públicas também as informações de saúde, como o status de HIV, incluídas ali.

O Grindr disse que "encoraja fortemente seus usuários a examinar com rigor como e onde seus dados são compartilhados".

O Conselho do Consumidor da Noruega abriu um processo por violação de privacidade contra a empresa por conta do compartilhamento dessas informações, alegando que a lei europeia exigiria uma permissão em separado para que os dados fossem enviados para terceiros. O conselho diz que mencionar isso apenas nos termos de uso não é suficiente.

Carlos Affonso Souza, do Instituto de Tecnologia e Sociedade ITS-Rio, também defende que a empresa deveria ter sido mais específica sobre o uso de dados sensíveis, como o status de HIV.

Ele explica que cem países do mundo já têm alguma legislação de proteção de dados pessoais - o Brasil não está entre eles - e que, na maioria dos caso, dados ligados a posições políticas, ideológicas e de intimidade recebem maior proteção.

"Normalmente, exige-se um consentimento explícito para que eles sejam coletados e sobre a finalidade disso. Não basta uma cláusula genérica", afirma o especialista.

Souza também argumenta que o fato de o usuário informar seu status voluntariamente e de forma pública em seu perfil "em determinado contexto e uma comunidade fechada" não significa que ele gostaria de ter essa informação compartilhada com terceiros.

"Imagine se essas informações vazam, e recrutadores passam a consultá-las antes de contratar alguém? Pode levar a uma grande discriminação", diz Souza.

Patrimônio pessoal

Nas últimas semanas, o Facebook tem enfrentado uma crise pela forma como uma consultoria política Cambridge Analytica coletou e usou os dados de 50 milhões de seus usuários. A empresa está sendo investigada pelo possível impacto desses serviços sobre as eleições americanas e a votação que determinou a saída do Reino Unido da União Europeia, o Brexit.

Mas o Grindr diz haver "uma grande diferença entre compartilhar dados com uma empresa de software e ter os dados coletados por terceiros como a Cambridge Analytica". "Não é isso que está ocorrendo aqui", afirmou.

Souza, do ITS-Rio, afirma que, ainda que haja diferença entre os casos, incidentes assim "deixam claro que devemos ter mais atenção com o que compartilhamos".

Ele defende que os brasileiros devem ter ainda mais cuidado, pelo fato de estarem entre os principais usuários desses serviços e, ao mesmo tempo, não haver no país uma legislação específica para essa questão.

"O perigo no Brasil é enorme, porque não temos uma lei nem uma cultura de proteção de dados, mas há um número expressivo de brasileiros nestas plataformas", diz.