Escândalo de dados Facebook–Cambridge Analytica

O escândalo de dados do Facebook–Cambridge Analytica foi um escândalo que envolveu a recolha de informações pessoalmente identificáveis de até 87 milhões de usuários pelo Facebook,^[1] que a Cambridge Analytica começou a recolher em 2014. Os dados foram utilizados por políticos para influenciar a opinião de eleitores em vários países em meio a campanhas politicas.^[2] Após a revelação do uso desses dados em uma investigação pelo telejornal Channel 4 News, o Facebook pediu desculpas e disse que a Cambridge Analytica recolheu os dados de forma "inadequada".^[3]

Em dezembro de 2015, o jornal The Guardian informou que o senador americano Ted Cruz estava usando dados recolhidos pelo Facebook, mas que os usuários não tinham conhecimento do uso de seus dados pessoais para fins políticos.^[4] Em março de 2018, os jornais The New York Times, The Guardian e Channel 4 News reportaram detalhes sobre a recolha desses dados, como resultado das novas informações trazidas a público pelo ex-funcionário Christopher Wylie da Cambridge Analytica, que revelou a natureza dos dados recolhidos e o vínculo entre Facebook e Cambridge Analytica, além dos políticos envolvidos.^[5][6]

Em seguida, o movimento #DeleteFacebook se tornou tendência no Twitter e o escândalo de dados recebeu cobertura da mídia na forma de um documentário da Netflix em 2019, chamado The Great Hack.^[7][8]

Processo

Aleksandr Kogan, um cientista da Universidade de Cambridge, desenvolveu um aplicativo chamado "This Is Your Digital Life" (às vezes estilizado como "thisisyourdigitallife").^[9] A Cambridge Analytica, por sua vez, criou um processo de consentimento informado para a pesquisa, em que centenas de milhares de usuários do Facebook concordariam em preencher uma pesquisa por um pagamento.

Essa pesquisa seria apenas para uso acadêmico.^[10] No entanto, o Facebook permitiu que este aplicativo não só recolhesse informações pessoais das pessoas que participaram, mas também as informações pessoais de todas as pessoas conectadas a esses usuários na mídia social. Desta forma, a Cambridge Analytica adquiriu dados de milhões de usuários do Facebook.^[9]

Características dos dados

 

O número de pessoas que o Facebook estima terem sido afetadas pelo escândalo, e o país de origem.

O New York Times relatou que o conjunto de dados resultou em informações sobre 50 milhões dos usuários do Facebook;^[11] e até 87 milhões tiveram seus dados partilhados; somente nos Estados Unidos foram 70,6 milhões. A Cambridge Analytica diz que só foram coletados dados de 30 milhões de perfis de usuários do Facebook.^[12][13]

O Facebook enviou uma mensagem para os usuários que teriam sido afetados informando que seu "perfil público, páginas curtidas, data de nascimento e cidade atual" poderiam ter vazado.^[14] Alguns dos usuários dos aplicativos também deram a permissão de acesso para o feed de notícias, linha do tempo, e mensagens.^[15]

Os dados foram detalhados o suficiente para a Cambridge Analytica criar perfis psicológicos com os dados para uma determinada campanha política. As informações de cada perfil sugeriam que tipo de anúncio seria mais eficaz para persuadir uma determinada pessoa em um determinado local sobre algum evento político.^[16][17]

Respostas

O CEO do Facebook, Mark Zuckerberg, pediu desculpas pelo escândalo da Cambridge Analytica, chamando-o de um "problema", um "erro" e uma "quebra de confiança".^[18] Outros funcionários do Facebook argumentaram contra o termo "violação de dados", uma vez que aqueles que aceitaram o teste de personalidade consentiram originalmente em fornecer suas informações.

Mark Zuckerberg prometeu fazer alterações e reformas no Facebook para impedir infrações semelhantes no futuro.^[19] Em 25 de março de 2018, o empresário publicou uma carta pessoal em vários jornais pedindo desculpas em nome da rede social.^[20] Em abril, foi decidida a implementação do Regulamento Geral de Proteção de Dados (GDPR em inglês) da União Europeia em todas as áreas de operação.^[21]

A Amazon suspendeu a utilização da Cambridge Analytica dos seus Serviços Web da Amazon (AWS), quando soube da coleta de informações pessoais.^[22] Países como o Brasil e a Índia pediram explicações do impactos da coleta de dados pessoais em suas respectivas eleições, e se existiam indícios de campanhas políticas nos países utilizando esses dados.^{[23][24][25][26]}

Desfecho

Após a queda da Cambridge Analytica, várias empresas relacionadas foram estabelecidas por pessoas anteriormente afiliadas à Cambridge Analytica, incluindo Emerdata Limited e Auspex International .^[27] O antigo CEO da Cambridge Analytica, Julian Wheatland, respondeu às notícias relacionadas a esta história e enfatizou que a Emerdata não herdaria os dados ou ativos existentes das empresas do SCL, e que essas informações pertencem aos administradores responsáveis pela falência das empresas do SCL.

David Carroll, um professor americano que processou a Cambridge para descobrir quais dados a empresa possuía sobre ele, afirmou que a Emerdata tinha como objetivo esconder os escândalos e minimizar as críticas. Os advogados de Carroll argumentaram que os administradores estavam agindo ilegalmente ao liquidar os ativos da empresa antes de uma investigação completa ser realizada. Embora esses administradores tenham submetido o SCL Group a danos criminais e a uma multa de US$ 26.000, um tribunal do Reino Unido negou o processo de Carroll, permitindo que o SCL se desintegrasse sem entregar seus dados^{[28] [29]}.

Relatório

O caso Facebook e Cambridge Analytica foi judicialmente analisado por meio de um processo administrativo (n° 08012.000723/2018-19) entre a parte representante: Departamento de Proteção e Defesa do Consumidor (DPDC) e a parte representada: Facebook Inc. e Facebook Serviços Online do Brasil Ltda. O assunto abordado no processo foi referente à prática abusiva, pela rede social Facebook, assim como, violação aos princípios da boa-fé, ao direito à privacidade e à informação clara e adequada sobre bens e serviços.

O caso passou a ser investigado após o conhecimento de notícia veiculada pela mídia, em 4 de abril de 2018, na qual haviam informações de que usuários do Facebook no país “podem ter sofrido com o uso indevido de dados pela Cambridge Analytica''.

Ao todo, segundo a rede social, 87 milhões em todo o mundo podem ter tido suas informações compartilhadas pela consultoria de marketing político, sendo 70 milhões nos Estados Unidos. No Brasil, segundo nota publicada pelo Facebook, este número foi de 443 mil.^[30]

Assim, em 17 de abril de 2018, o Departamento de Proteção e Defesa do Consumidor (DPDC), com a finalidade de averiguar os fatos, expediu a Notificação 19/2018/CSA – SENACON/CGCTPA/GAB-DPDC/SENACON. Foi solicitado que o Facebook Serviços Online do Brasil Ltda. se manifestasse sobre o eventual compartilhamento indevido de dados dos seus usuários e suas repercussões sobre os usuários brasileiros. Bem como respostas sobre os seguintes questionamentos:

• Qual é o alcance do suposto compartilhamento irregular?

• Qual é o número de usuários brasileiros afetados por ele?

• Qual era a finalidade da captura dos dados dos consumidores?

• Segundo as notícias, os usuários teriam concordado em fazer "testes" online e teriam consentido em compartilhar seus dados "para fins acadêmicos". Essa informação procede? Se não, como os dados dos usuários brasileiros foram compartilhados com a Cambridge Analytica?

• Além da Cambridge Analytica, os dados compartilhados foram também disponibilizados a outras empresas sem que os usuários brasileiros tenham dado consentimento específico para tal. O Facebook tem parceria, contrato ou qualquer vínculo com empresa que promova o marketing político partidário no Brasil? Em caso afirmativo, explique.
• Depois da assunção do compartilhamento irregular, por parte da empresa, o que o Facebook fez ou está fazendo para contornar o problema?
• Como o Facebook age para proteger os dados de seus usuários e de que instrumentos dispõe para que essa proteção seja efetiva?”^[30]

Nesse contexto, tanto o Facebook Inc. e o Facebook Serviços Online do Brasil Ltda foram intimados e ao longo dos anos de 2018 e 2019 diversos ofícios de respostas foram apresentados com os devidos argumentos de defesas, relatos de medidas de adicionais de proteção e documentos de ambas as empresas. Destacando-se as respostas de que o Facebook não teria responsabilidade quanto aos dados obtidos, de forma consentida, pelo aplicativo This Is Your Digital Life, uma vez que fora este mesmo aplicativo, quem desobedeceu a política de não compartilhamento de dados do site do Facebook. Contudo, a rede social cessou o acesso do aplicativo dos dados presentes nas contas e também adotou novas medidas de prevenção a abusos e mau uso dos dados dos usuários consumidores.

Fundamentação ^{[carece de fontes?]}

Para fundamentação de competências, foi apresentado que a Secretaria Nacional do Consumidor - SENACON, responsável pela coordenação do sistema que tem suas relações pautadas na integração entre os órgãos de defesa do consumidor,  conforme artigo 106 do Código de Defesa do Consumidor, deve se concentrar, em casos como esse, na articulação da cooperação que se fizer necessária entre os órgãos de interesse de defesa do consumidor competentes e atuar neste sentido quando as circunstâncias assim demandam. Entretanto, para fiscalizar e instruir demandas que envolvam relevante interesse geral e que atinjam o âmbito nacional, aplicar sanções administrativas, é competência do Departamento de Proteção e Defesa do Consumidor (CPDC).

O Facebook Brasil alegou que não seria o responsável pela prática das condutas apuradas no caso, o qual pediu por sua exclusão, fundamentando que os fatos apurados seriam de responsabilidade da sua matriz, Facebook Inc. Porém, essa alegação não foi acolhida, com base no artigo 11 da Lei do Marco Civil da Internet que estabelece responsabilidade de pessoa jurídica com estabelecimento no Brasil.

É destacado que a Constituição Federal de 1988 situa o Direito do Consumidor no rol dos direitos e garantias fundamentais do cidadão e da coletividade, art. 5º, inciso XXXII. Sendo dever do Estado promover, na forma da lei, a defesa do consumidor, além de garantir ser a proteção do consumidor baliza para a atividade econômica, de acordo com o art. 170 do diploma citado.

Assim, O Código de Defesa do Consumidor, como instrumento que visa garantir os preceitos fundamentais da Constituição Federal, possui como princípios a transparência, confiança, harmonia nas relações de consumo, reconhecimento da vulnerabilidade do consumidor, harmonização de interesses com base na boa-fé e o equilíbrio nas relações entre consumidores e fornecedores. Diante disso, interpretou-se que as representadas são consideradas fornecedoras.

Dada a extensão e gravidade dos fatos encontrados, procurou-se investigar se houve a quebra das legítimas expectativas dos consumidores contratantes da plataforma no que se refere à tutela do direito fundamental à proteção de seus dados pessoais. Ainda, se houve acesso indevido pelo desenvolvedor do aplicativo thisisyourdigitallife ou pelo Cambridge Analytica.

Constata-se que a autorização de compartilhamento instantâneo de dados de usuários discutida se deu em caráter genérico, posto os dois pontos em aberto: os agentes concretamente teriam acesso a esses dados, e qual seria a finalidade do tratamento das informações fornecidas pelos consumidores da plataforma. Observou-se nos autos da defesa das representadas a alegação de que houve consentimento, mas este não estaria vinculado a uma finalidade específica, o que confronta dizer que não houve consentimento para finalidade nenhuma. Apresentou-se, pois, violação aos termos do art. 7º, inciso VIII, alínea “c” do CDC.

É argumentado, quanto às representadas, que a ausência de qualquer sanção a estas constitui-se numa sinalização, ao consumidor, de que o mercado em que elas operam se encontram num processo de seleção adversa, no qual o nível de assimetria de informações entre fornecedores e consumidores em que pese nos aspectos associados ao bem ou serviço ofertado. Defesa que afasta tese de responsabilidade exclusiva do próprio consumidor ou de terceiro, visto que os Representados intervieram na cadeia de consumo e ofertaram o serviço no âmbito do qual os fatos em apuração foram constatados, permitindo o compartilhamento indevido.

Considerações finais no contexto brasileiro^{[carece de fontes?]}

Após a exposição no relatório e a fundamentação do Coordenador Geral de Consultoria Técnica e Sanções Administrativas, Leonardo Albuquerque Marques, resta saber como o processo foi decidido. O juiz entendeu que o Facebook Inc. e o Facebook Serviços Online do Brasil Ltda. revelaram ao aplicativo thisisyoudigitallife os dados de usuários de forma indevida.

O árbitro destacou dois argumentos que justificariam o motivo de a exposição ter se dado de forma inadequada. O primeiro deles diz respeito ao modelo de consentimento adotado pelos Representados, em que havia o compartilhamento automático de dados de amigos de usuários que utilizaram o aplicativo, faltando em oferecer a devida proteção. O segundo argumento diz respeito à prática abusiva de compartilhamento indevido de dados resultante da falha do Facebook Inc. e do Facebook Serviços Online do Brasil Ltda. em informar aos seus usuários acerca das implicações que as configurações padrão de privacidade poderiam culminar. A prática abusiva prevê aplicação de multa por lesar a coletividade de consumidores.^[31]

Dosimetria

Como foi indicado no tópico anterior, o juiz compreendeu que deveria ser aplicada uma multa aos Representados "pela lesividade à coletividade de consumidores". O árbitro explica que o valor dessa espécie de multa geralmente considera os seguintes critérios: "Gravidade da Infração; Extensão do Dano; Condição Econômica do Fornecedor e Receita Mensal Bruta". Porém, como não foram fornecidas a extensão do dano e a receita mensal bruta da Facebook Inc., utilizou-se dois critérios que serão considerados a seguir.

O primeiro deles diz respeito à gravidade da infração. Por se tratar de prática abusiva, a infração é qualificada em grau médio. O segundo versa sobre a vantagem obtida com a infração, que o juiz considerou como "não triviais", visto que atingiu de forma significativa mais de quatrocentos e quarenta mil consumidores brasileiros.

Diante dessa análise, o juiz estipulou o valor da multa em R$ 6.600.000,00 (seis milhões e seiscentos mil reais). Ainda que se verifique uma circunstância atenuante por serem réus primários, ela é compensada pelo agravante de a prática ter caráter repetitivo, uma vez que se prolongou por aproximadamente dois anos.  

Desfecho

Além da condenação ao pagamento da multa administrativa no valor de R$ 6.600.000,00 (seis milhões e seiscentos mil reais), o juiz estipulou que a Representada fosse notificada para depositá-la no Fundo de Defesa de Direitos Difusos. Não apenas isso, sugeriu ainda que se desse ciência da situação aos órgãos e entidades do Sistema Nacional de Defesa do Consumidor. Para finalizar, caso houvesse interposição de recurso ou a multa não fosse paga, o processo administrativo deveria retornar à Coordenação Geral de Consultoria Técnica e Sanções Administrativas.

Referências

1. «Facebook says Cambridge Analytica may have gained 37m more users' data» (em inglês). The Guardian. Consultado em 15 de abril de 2018 
2. «Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades». G1. Consultado em 4 de abril de 2021 
3. «Facebook scandal 'hit 87 million users» (em inglês). BBC News. Consultado em 15 de abril de 2018 
4. «Ted Cruz campaign using firm that harvested data on millions of unwitting Facebook users» (em inglês). The Guardian. Consultado em 15 de abril de 2018 
5. «How Trump Consultants Exploited the Facebook Data of Millions» (em inglês). The New York Times. Consultado em 15 de abril de 2018 
6. «Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach» (em inglês). The Guardian. Consultado em 15 de abril de 2018 
7. Chen, Brian X. (21 de março de 2018). «Want to #DeleteFacebook? You Can Try». The New York Times (em inglês). ISSN 0362-4331. Consultado em 4 de abril de 2021 
8. «The Great Hack: the film that goes behind the scenes of the Facebook data scandal». the Guardian (em inglês). 20 de julho de 2019. Consultado em 4 de abril de 2021 
9. Cadwalladr, Carole; Graham-Harrison, Emma (17 de março de 2018). «Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach». The Guardian (em inglês). ISSN 0261-3077. Consultado em 4 de abril de 2021 
10. «The great British Brexit robbery: how our democracy was hijacked». the Guardian (em inglês). 7 de maio de 2017. Consultado em 4 de abril de 2021 
11. «Facebook Exposed 87 Million Users to Cambridge Analytica». Wired (em inglês). ISSN 1059-1028. Consultado em 4 de abril de 2021 
12. Kozlowska, Hanna. «The Cambridge Analytica scandal affected nearly 40 million more people than we thought». Quartz (em inglês). Consultado em 4 de abril de 2021 
13. «Facebook to send Cambridge Analytica data-use notices to 87 million users today». NBC News (em inglês). Consultado em 4 de abril de 2021 
14. Coulter, Martin (10 de abril de 2018). «Find out if your Facebook data was shared with Cambridge Analytica». www.standard.co.uk (em inglês). Consultado em 4 de abril de 2021 
15. «Cambridge Analytica Could Also Access Private Facebook Messages». Wired (em inglês). ISSN 1059-1028. Consultado em 4 de abril de 2021 
16. Rosenberg, Matthew; Confessore, Nicholas; Cadwalladr, Carole (17 de março de 2018). «How Trump Consultants Exploited the Facebook Data of Millions». The New York Times (em inglês). ISSN 0362-4331. Consultado em 4 de abril de 2021 
17. Katyal, Sonia K. (2019). «Artificial Intelligence, Advertising, and Disinformation». Advertising & Society Quarterly (4). ISSN 2475-1790. doi:10.1353/asr.2019.0026. Consultado em 4 de abril de 2021 
18. Daily, Investor's Business (26 de março de 2018). «Facebook Stock Flashes Multiple Sell Signals Amid Cambridge Analytica Data Scandal | Stock News & Stock Market Analysis - IBD». Investor's Business Daily (em inglês). Consultado em 4 de abril de 2021 
19. «Facebook's Zuckerberg speaks out over Cambridge Analytica 'breach'». BBC News (em inglês). 22 de março de 2018. Consultado em 4 de abril de 2021 
20. CNN, By Sheena McKenzie (25 de março de 2018). «Facebook's Mark Zuckerberg says sorry in full-page newspaper ads». CNN (em inglês). Consultado em 4 de abril de 2021 
21. «Amidst data scandal, Facebook will voluntarily enforce EU's new privacy rules "everywhere"». xda-developers (em inglês). 4 de abril de 2018. Consultado em 4 de abril de 2021 
22. SchwartzMarch 30 2017, Mattathias SchwartzMattathias; P.m, 6:01. «Facebook Failed to Protect 30 Million Users From Having Their Data Harvested by Trump Campaign Affiliate». The Intercept (em inglês). Consultado em 4 de abril de 2021 
23. Luiz, Gabriel; Rodrigues, Mateus (21 de Março de 2018). «MP do DF apura se Cambridge Analytica usou dados de brasileiros no Facebook». G1. Consultado em 11 de Outubro de 2018 
24. Valente, Jonas (21 de Março de 2018). «Ministério Público do DF investiga uso ilegal de dados de usuários do Facebook». Agência Brasil. Consultado em 11 de Outubro de 2018 
25. «Brazil prosecutors open investigation into Cambridge Analytica» (em inglês). Reuters. 21 de Março de 2018. Consultado em 11 de Outubro de 2018 
26. «India to investigate alleged Cambridge Analytica data breach» (em inglês). The Guardian. 26 de Julho de 2018. Consultado em 11 de Outubro de 2018 
27. «Cambridge Analytica staff set up new firm». BBC News (em inglês). 12 de julho de 2018. Consultado em 4 de abril de 2021 
28. «Documentary: 'The Great Hack'». NPR.org (em inglês). Consultado em 4 de abril de 2021 
29. Pasternack, Jesse Witt and Alex (26 de julho de 2019). «The strange afterlife of Cambridge Analytica and the mysterious fate of its data». Fast Company (em inglês). Consultado em 4 de abril de 2021 
30. «Processo administrativo. Ministério da Justiça e Segurança Pública. Disponível em <brunobioni.com.br/wp-content/uploads/2020/01/SEI_08012.000723_2018_19-1-1.pdf>. Acesso em 14 de dezembro de 2021.» (PDF) 
31. Rossi, Marina (30 de dezembro de 2019). «Brasil multa Facebook em 6,6 milhões de reais pelo vazamento de dados no caso Cambridge Analytica». El País Brasil. Consultado em 2 de junho de 2023 

«Cambridge Analytica's Brazil Partner Asks to Suspend Deal». Bloomberg.com (em inglês)