7. Privacidade e segurança nas TIC, protecção de dados no ciberespaço

7.2. Termos de Serviço (EULA)

Na próxima parte deste capítulo, tentarei descrever que informação sobre os utilizadores é recolhida por defeito pelos maiores ISPs.[1] Escolhi especificamente a Google Inc. porque acredito que existe um pequeno número de utilizadores que nunca utilizariam um dos produtos da Google (como o OS Android, o motor de busca em www.google.com, Gmail, Google Chrome, etc.).[2] O meu objectivo não é de forma alguma "atacar" a Google Inc. ou outras empresas (incluindo os seus produtos). O objectivo é apresentar os possíveis riscos de segurança associados à utilização de certos serviços fornecidos e à aceitação dos Termos de Serviço (EULA - End Users Licence Agreement), aos quais a utilização destes serviços está vinculada.

Os Termos de Serviço que permitem a utilização de um serviço de um determinado prestador de serviços não são, na essência, mais do que uma definição geralmente estabelecida unilateralmente de direitos e obrigações por parte do prestador de serviços (ISP). No entanto, um utilizador não está de modo algum limitado nos seus direitos, uma vez que tem a opção de não utilizar tais termos de serviço estabelecidos unilateralmente. No caso de consentimento para a utilização de tais serviços, é geralmente possível afirmar que as normas de direito privado serão aplicadas principalmente.

A questão é saber se um utilizador está realmente ciente dos Termos de Serviço com os quais concordou, quando estes se tornam vinculativos para ele e que possível interferência (legal) nos seus direitos humanos e liberdades fundamentais é tal consentimento. Outro facto importante é que o serviço prestado desta forma pode afectar os direitos e interesses legítimos (por exemplo, segurança informática, fiabilidade dos dados, etc.) de terceiros (por exemplo, empregadores, etc.) que não tenham concordado explicitamente em utilizar o serviço.

Teoricamente, pode afirmar-se que um contrato de direito privado com esta empresa para todo o período da sua existência foi celebrado por quase 3 mil milhões de utilizadores.[3] O triste facto é que uma percentagem muito pequena de utilizadores está disposta a ler os Termos de Serviço relativos a um serviço prestado.[4]

Excertos de Google Inc. Termos de Serviço[5]

O Google declara explicitamente que se algum utilizador começar a utilizar quaisquer serviços Google, concorda com os termos de serviço aplicáveis. Define ainda claramente a relação entre um utilizador e ele próprio, como fornecedor de serviços, caso o utilizador seja obrigado a aceitar outros termos de serviço. Esta relação é expressa da seguinte forma: "A nossa gama de serviços é ampla, e alguns podem estar sujeitos a condições ou requisitos adicionais (incluindo restrições de idade). Termos adicionais estarão disponíveis juntamente com os serviços aplicáveis. Se utilizar estes serviços, as condições de serviço adicionais tornam-se parte dos acordos contratuais entre as duas partes".

Na introdução aos Termos de Serviço, o Google afirma que: "Podemos rever o conteúdo[6] para determinar se é legal e em conformidade com as nossas políticas e se acreditamos que viola as nossas políticas ou leis, podemos remover ou impedir que o conteúdo apareça. Note que o acima exposto não significa que revejamos o conteúdo".

Do ponto de vista da segurança, na minha opinião, uma parte essencial dos Termos de Serviço é a secção que trata da protecção dos dados pessoais e dos direitos de autor.[7] Nesta secção, o Google define que informação recolhe sobre os utilizadores e como a trata. As seguintes informações são cruciais do ponto de vista da segurança e do "anonimato". Creio que declarar que a seguinte informação é recolhida "para que possamos fornecer um melhor serviço a todos os nossos utilizadores - desde identificar coisas simples como a língua que fala até coisas mais complexas, tais como anúncios que lhe serão mais úteis, as pessoas que lhe interessam mais na web ou quais os vídeos do YouTube de que poderá gostar", pode ser louvável mas pelo menos assustador. A comparação com o já mencionado Relatório Minoritário sob a forma de publicidade dirigida é mais do que óbvia após tal afirmação. Além disso, Manfred Spitzer e Digital Dementia vêm-me de novo à mente porque, com o tempo, já não sou eu quem decide o que vou ver ou o que vou procurar (ou todas as respostas relevantes podem não ser e não me são oferecidas).

O Google recolhe informação do utilizador basicamente de duas formas:

1.   Informação divulgada por um utilizador. Normalmente, são estas:

-       Nome, endereço de correio electrónico, número de telefone ou cartão de crédito.

2.   Informação obtida através da utilização dos serviços Google. Envolve a recolha de informação sobre os serviços que um utilizador utiliza, incluindo a forma como são utilizados ("por exemplo, quando vê um vídeo no YouTube, visita websites que utilizam os nossos serviços de publicidade ou vê ou responde aos nossos anúncios e conteúdos"). De acordo com a Google, estes são:

-       Informação do dispositivo (por exemplo, modelo do hardware, versão do sistema operativo, identificadores únicos do dispositivo[8] e informação da rede móvel, incluindo o número de telefone). Google reserva-se o direito de atribuir os identificadores do seu dispositivo ou o seu número de telefone à sua conta de utilizador Google

-       Informação de protocolo:

·      detalhes de como um utilizador utilizou um serviço Google,

·      informação do protocolo de chamada (por exemplo, número de telefone, número de chamada, números de desvio, hora e data das chamadas, duração da chamada, dados de encaminhamento de SMS e tipos de chamadas),

·      Endereço do Protocolo Internet

·      informação sobre eventos do dispositivo (por exemplo, falha, actividade do sistema, definições de hardware, tipo de navegador, idioma do navegador, data e hora do seu pedido, ou URL de referência),

·      cookies, que podem ser identificadores únicos do seu browser ou da sua conta Google.

-       Informação sobre a localização. A Google pode recolher e processar mais informações sobre a localização real do seu utilizador. A Google pode determinar a sua localização utilizando uma variedade de tecnologias, tais como endereço IP, GPS e outros sensores que podem fornecer à Google informações sobre dispositivos próximos, hotspots Wi-Fi e transmissores de rede móvel.

-       Números de candidatura únicos. Normalmente, trata-se de um número e tipo de licença (versão) de um produto de software instalado aplicável. Os Termos de Serviço não implicam que os números únicos de aplicação sejam registados apenas a partir de dispositivos cujo sistema operativo principal é o Android. Por conseguinte, pode concluir-se que, se forem utilizados serviços Google, a informação sobre números de aplicação únicos é também recolhida de outros sistemas operativos (iOS, Linux, Windows, etc.).

-       Armazenamento local. Nos termos dos Termos de Serviço, a Google pode: "recolher e armazenar informações (incluindo informações pessoais) no armazenamento local do seu dispositivo". Também neste caso, pode-se chegar à mesma conclusão que para números de aplicação únicos.

Na minha opinião, o problema é também o facto de em parte alguma dos Termos Gerais de Serviço estar definido com precisão[9] qual a localização e especialmente qual a segurança que será utilizada pelo Google. Assim, é teoricamente possível utilizar o armazenamento como um todo. É possível obter informações sobre ficheiros (por exemplo, os seus nomes, localização, e até absurdamente o hash, que será depois comparado, por exemplo, com a base de dados de outro serviço onde os dados são armazenados - por exemplo, DropBox, OneDrive, etc.).

Na minha opinião, a possibilidade de utilização abusiva de tais dados armazenados por um atacante é também uma ameaça para os utilizadores. A informação (que normalmente é embalada em cookies, etc.) armazenada no armazenamento local de um utilizador pode também tornar-se um alvo atraente para um atacante, porque é a partir desta informação que é possível determinar, por exemplo, os padrões de comportamento do utilizador.

-       Biscoitos e tecnologias similares. "Quando visita um serviço Google, nós e os nossos parceiros utilizamos uma variedade de tecnologias para recolher e armazenar informação. Isto pode incluir, mas não está limitado à utilização de cookies ou tecnologias semelhantes para identificar o seu navegador ou dispositivo. Utilizamos estas tecnologias para recolher e armazenar informações, mesmo quando o utilizador utiliza serviços que oferecemos aos nossos parceiros, tais como serviços de publicidade ou funcionalidades Google que possam aparecer noutros websites".

Que informações recolhem as aplicações que correm no SO Android:


[10]

O Google pode continuar a utilizar esta informação com base nos Termos de Serviço acordados. Entre outras coisas, o Google está autorizado a analisar o conteúdo (incluindo e-mails) utilizando sistemas automatizados. Tem também o direito de combinar dados pessoais de um serviço com informações e dados pessoais de outro serviço (utilizando o Google).

O tratamento das informações mencionadas significa então a sua partilha, quer com o consentimento do utilizador, quer sem este consentimento.[11] O Serviço de Termos permite a partilha para processamento externo e por razões legais:

"Fornecemos informações pessoais aos nossos afiliados ou outras empresas ou pessoas de confiança para que as processem por nós, com base nas nossas instruções e em conformidade com a nossa Política de Privacidade e quaisquer outras medidas de confidencialidade e segurança apropriadas.

 "Partilhamos informação pessoal com empresas, organizações ou indivíduos fora do Google se acreditarmos de boa fé que o acesso, utilização, preservação, ou divulgação da informação é razoavelmente necessário:

·      cumprir qualquer lei aplicável, regulamento, processo legal, ou pedido governamental executório,

·      fazer cumprir os Termos de Serviço aplicáveis, incluindo a investigação de potenciais violações,

·      detectar, prevenir, ou de outra forma abordar a fraude, segurança, ou questões técnicas,

·      proteger contra danos aos direitos, propriedade ou segurança da Google, dos nossos utilizadores, ou do público, conforme exigido ou permitido por lei".

No entanto, de uma perspectiva de segurança e anonimato, considero a seguinte secção dos Termos de Serviço que trata do conteúdo do utilizador sobre os serviços fornecidos pelo Google como provavelmente a mais problemática:

"Ao carregar, submeter, armazenar ou receber conteúdo para ou através dos nossos Serviços, concede à Google (e aos seus parceiros) uma licença mundial para utilizar, alojar, armazenar, reproduzir, modificar, criar trabalhos derivados (por exemplo, os que são da tradução, adaptação ou outras alterações que fazemos para que o seu conteúdo se adapte melhor aos nossos Serviços)[12] , comunicar, publicar, executar ou exibir e distribuir publicamente o referido conteúdo..... Esta licença permanecerá em vigor mesmo quando deixar de utilizar os nossos Serviços (por exemplo, listagem de empresas adicionadas ao Google Maps). Alguns serviços permitem-lhe aceder ou remover conteúdo que tenha submetido ao serviço....

Pessoalmente, acredito que pelo menos nesta parte dos Termos de Serviço, o limite imaginário que define a adequação da informação recolhida sobre utilizadores individuais foi excedido. Esta secção é, de facto, sobre uma "utilização legal" de qualquer conteúdo com o qual o Google "interage". Pessoalmente, acredito que é a interferência com o conteúdo de, por exemplo, informação transmitida que deveria ser um último recurso possível, e não uma espécie de "assunto em curso" consagrado no contrato.


[1] Para esta parte do texto, as teses que foram utilizadas foram publicadas no artigo: KOLOUCH, Jan. Pseudoanonymita - bezpečnostní riziko pro uzivatele Internetu. DSM - gestão de segurança de dados [online]. 2015. Vol. 19, No. 3, pp. 24-29 ISSN 1211-8737. Disponível em: http://www.tate.cz/cz/casopis/clanek/dsm-2015-3-456/

[2] É de notar que as seguintes empresas têm Termos de Serviço muito semelhantes (permitindo-lhes fornecer informação numa medida comparável): Microsoft, Apple, Facebook, etc.

[3] De acordo com o artigo SMITH, Craig. Pelos Números: 100 Fatos e Estatísticas de Pesquisa Incríveis no Google. [online]. [cit. 04/08/2016]. Disponível em: http://expandedramblings.com/index.php/by-the-numbers-a-gigantic-list-of-google-stats-and-facts/, há 100 mil milhões de pesquisas por mês através da pesquisa no Google.

[4] E de acordo com um participante na conferência Security 2015, uma pessoa normal passaria cerca de 10-20 anos da sua vida a ler todos os Termos de Serviço em constante mudança.

[6] Conteúdo significa conteúdo (dados) que não pertence ao Google. A entidade que o publicou é responsável pelo conteúdo.

[7] Especificamente então Zásady ochrany osobních údajů. [online]. [cit.14/06/2016]. Disponível a partir de: https://www.google.cz/intl/cs/policies/privacy/

[8] Definição do  Google. Identificador de dispositivo único. [online]. [cit.14/06/2016]. Disponível em: https://www.google.cz/intl/cs/policies/privacy/key-terms/#toc-terms-unique-device-id

"Um identificador de dispositivo único (por vezes chamado um ID ou UUID universalmente único) é uma cadeia de caracteres que é codificado no dispositivo pelo fabricante e é utilizado para identificar de forma única o dispositivo (por exemplo, o IMEI de um telemóvel). Os diferentes identificadores de dispositivos diferem dependendo de serem permanentes, se os utilizadores podem reiniciá-los e como podem ser acedidos. Um determinado dispositivo pode conter vários identificadores únicos diferentes. Os identificadores únicos de dispositivos podem ser utilizados para uma variedade de fins, tais como segurança, detecção de fraude, sincronização de serviços, tais como caixa de entrada, ou para armazenar configurações de utilizadores e fornecer anúncios relevantes".

[9] De acordo com a função requerida, tratar-se-á principalmente de armazenar informações e dados na pasta do navegador (web browser) dado, mas de acordo com as condições contratuais, pode também ser aplicações diferentes de um web browser.

[10] CAETANO, Lianne. As suas aplicações estão a ser sobre-partilhadas? O Relatório de Segurança Móvel de 2014 diz tudo. [online]. [cit.10/04/2015]. Disponível a partir de: https://blogs.mcafee.com/consumer/mobile-security-report-2014/

[11] Por exemplo, com administradores de domínio; para processamento externo ou por razões legais.

[12] É compreensível que o Google tente, por exemplo, traduzir obras, páginas ou outros conteúdos para que mesmo um utilizador que não conheça a língua original da obra o possa ler. No entanto, em casos absurdos, é possível imaginar a publicação do seu poema de amor privado que enviou utilizando um dos serviços Google, a sua fotografia, a sua brilhante ideia de uma máquina de movimento perpétuo, etc.