Como a In Loco consegue saber por onde você anda sem infringir a LGPD

Muitos brasileiros descobriram a existência da In Loco, uma startup de Recife (PE), no final de março. Especializada em geolocalização e atuante no segmento B2B, a In Loco usou os dados de localização dos mais de 60 milhões de celulares que monitora para criar o Índice de Isolamento Social (IIS), um mapa dinâmico que mostra quais estados estão mais ou menos comprometidos com o distanciamento social na luta contra a COVID-19.

O mapa é impressionante. Ele demonstra precisamente quando o Brasil passou a levar a sério a pandemia (20/3) e como o pico daquele fim de semana (69,6% no dia 22), que teve na sexta-feira discurso do presidente Jair Bolsonaro se referindo à COVID-19 como “uma gripezinha” e uma entrevista sua no Programa do Ratinho, do SBT, jamais se repetiu. O mapa também é um pouco inquietante e, não bastasse isso, a In Loco firmou acordos com pelo menos 20 estados para repassar dados anonimizados e agregados para ajudar no combate à COVID-19. Em meio a tudo isso, a pergunta que fica é: como uma empresa relativamente desconhecida acumulou tantos dados de tantos celulares no país sem chamar a atenção do grande público?

A In Loco antecipou-se e preparou, em paralelo à divulgação do IIS, uma série de materiais se explicando e uma política de privacidade exclusiva para o mapa a fim de responder àquela pergunta. Apesar do choque de alguns ao se descobrirem parte de um experimento baseado na localização super precisa de seus celulares, aparentemente a In Loco fez o dever de casa, ou seja, amealhou essa montanha de dados de acordo com as leis de proteção da privacidade digital. Foi a conclusão a que cheguei após conversar com a startup e com um pesquisador da área.

A In Loco foi fundada em 2011 por estudantes da Universidade Federal de Pernambuco. Por meio de uma API atualmente usada em mais de 600 aplicativos comerciais parceiros, ela coleta e trata dados de geolocalização de 60 milhões de celulares. A precisão da localização, diz a In Loco, é até 30 vezes maior que os de GPS, graças ao cruzamento de dados complementares, como os do Bluetooth e Wi-Fi. Esses dados são coletados e tratados pela In Loco para fins de publicidade e prevenção a fraudes.

Por e-mail, a assessoria da In Loco informou que sua tecnologia está presente em apps de “bancos e grandes varejistas”, mas que não pode relevar os nomes das empresas parceiras por “questões de confidencialidade previstas em contratos”.

Esse modo de funcionamento é praxe na indústria. A εxodus Privacy, uma organização de hacktivistas sem fins lucrativos, fornece uma visão ampla desse cenário. Eles fazem um trabalho de fiscalização de rastreadores em aplicativos para Android. Neste momento, o banco de dados contém 69.879 aplicativos analisados. O rastreador mais comum é o Firebase Analytics do Google, presente em quase metade (46%) dos apps. No ranking de código de rastreamento mais populares, Google e Facebook ocupam as 11 primeiras posições.

Mesmo que você não tenha conta no Google ou Facebook, nem instale qualquer dos apps dessas empresas, é bem provável que seu celular ainda se comunique com os servidores delas, porque algum app de terceiro provavelmente estará usando soluções de Google e Facebook — o que habilita esses rastreadores. Pois o mesmo ocorre com a In Loco.

LGPD, Marco Civil da Internet e consentimento

A In Loco garante aderir integralmente à Lei Geral de Proteção de Dados Pessoais (LGPD), a lei brasileira de proteção de dados que, graças à pandemia do SARS-CoV-2, teve o início da sua vigência adiado de agosto deste ano para janeiro de 2021. A startup também afirma que só coleta dados estritamente necessários à sua atuação e sempre com o consentimento do usuário.

É possível consentir com algo de que se desconhece a existência? Christian Perrone, pesquisador sênior da área de direito e tecnologia do ITS-Rio, afirma que sim, embora isso dependa diretamente das políticas de privacidade dos apps parceiros que usam a API da In Loco: “A política de privacidade da empresa parceira diz que ela transmite dados para outras empresas que farão tratamento para marketing? Se sim, aí pode transmitir para a In Loco, que faz esse tratamento para realizar o marketing da empresa parceira original”, explica.

Perrone lembra que a especificação dos parceiros, ou seja, que o nome da In Loco apareça na política do app parceiro, ainda é um assunto em aberto no Brasil. Na Europa, onde vige o Regulamento Geral sobre a Proteção de Dados (GDPR), há precedentes no sentido de que é necessário, sim, informar explicitamente os nomes. Por aqui, o assunto só deverá ser pacificado quando a Autoridade Nacional de Proteção de Dados (ANPD), órgão que supervisionará a aplicação da LGPD, for criado e der seu parecer.

Independentemente disso, a In Loco afirma que todos os apps parceiros a mencionam em suas políticas de privacidade e que “monitora automaticamente, através de um ‘crawler’ (software que rastreia e analisa conteúdo de websites), se os termos de uso ou políticas de privacidade dos aplicativos parceiros de fato mencionam a In Loco em sua política de privacidade”. Caso a menção seja removida, ela entra em contato imediatamente com o parceiro solicitando a reinclusão e, em caso negativo, pode desligar o acesso dele à sua API.

(Aliás, essa informação nos permite descobrir alguns parceiros da In Loco com uma simples busca por "política de privacidade" +"in loco". Apps como Peixe Urbano, Letras.mus.br e Tudo Gostoso são alguns deles.)

A In Loco atua na prevenção de fraudes e em publicidade, finalidades complexas e que podem ser custosas de se fazer internamente para muitas empresas. Ainda que não seja em troca de um benefício direto ao usuário final, como ocorre com o algoritmo de recomendações personalizado da Netflix, ao permitir que esse tipo de compartilhamento de dados ocorra, leis como a LGPD equilibram a competição entre pequenas empresas e as grandes de cada setor.

Ainda sobre a LGPD, Perrone lembra que a lei estabelece princípios para justificar a coleta de dados. Não se pode, por exemplo, tratar um dado sem ter uma finalidade definida e informada ao usuário que o cedeu, sem necessidade e sem avisá-lo de antemão. A lei também estabelece o que é “dado pessoal” e, no caso dos de geolocalização, tudo depende da maneira como eles são coletados. “Sempre que o dado permitir que se identifique uma pessoa, estamos falando de um dado pessoal. Já um dado de localização, que chamam de ‘mancha de localização/de calor’, é mais difícil porque você agrega uma série de pessoas”, diz, referindo-se ao IIS da In Loco.

Nesse sentido, a startup garante que coleta o mínimo necessário para atuar e mitigar as oportunidades para processos de “reidentificação”, quando um dado anonimizado é cruzado com outras fontes e, dessa forma, revela a identidade de um indivíduo. “Minimizamos a quantidade de colunas [que formam um identificador] para apenas os dados estritamente necessários para nossas aplicações, além de aplicar um retenção clara para os nossos dados”, disse a empresa por e-mail. “Trabalhamos continuamente para que esse risco seja menor a cada dia desenvolvendo pesquisas internamente que nos permitam fazer mais coisas com menos dados, além de nos aprofundar em temas como criptografia homomórfica e privacidade diferencial para aplicar na nossa infraestrutura”.

No caso do IIS, a In Loco diz que “os relatórios enviados para os órgãos públicos e autoridades contêm apenas dados cartográficos e estatísticos. Neles é possível ver o percentual de pessoas que não se deslocaram de seus bairros. Todos os dados coletados são agregados e pseudomizados”.

O uso dos dados nesses mapas de apoio ao combate à COVID-19, uma finalidade não prevista, é passível de debate, diz Perrone. O pesquisador lembra, porém, que a LGPD prevê situações excepcionais no uso de dados para fins não comunicados previamente e sem o consentimento do titular, sendo uma delas a “proteção da vida ou da incolumidade física do titular ou de terceiro” (artigo 11, II, e). “Hoje estamos falando de uma pandemia que durará algum tempo, mas e se fosse uma emergência ambiental?”, questiona ele. “Poderíamos usar esses dados para salvar vidas, por mais que o titular não saiba? Qual a transparência para utilizar com base legal essa permissão da LGPD? São outras perguntas que seria melhor que a ANPD respondesse”.

O parecer do Ministério Público

Recentemente, a In Loco esteve na mira do poder público. Em setembro de 2018, o Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um inquérito para investigar a legalidade dos serviços oferecidos pela startup devido à “gravidade dos fatos e o vasto número de titulares dos dados pessoais afetados”.

Em fevereiro deste ano, o inquérito foi arquivado por unanimidade. Em seu parecer, o promotor Frederico Meinberg Ceroy afirmou que “a empresa exerce um modelo de negócio que está em conformidade com a legislação vigente, uma vez que não há coleta de dados que permita a vinculação direta ao titular dos dados pessoais”. Para Perrone, do ITS-Rio, isso serve de garantia de que “de alguma forma eles estão de acordo com o padrão de privacidade do Brasil”.

Opt-out

Na já citada política de privacidade exclusiva do Índice de Isolamento Social da In Loco, há uma lista com os dados coletados. A In Loco coleta um “identificador de mídia”, muitos detalhes do dispositivo (marca, modelo, sistema operacional, IP sem os quatro últimos dígitos etc.), o uso dos apps (cliques, visualizações, quantas vezes e quando eles são usados) e a idade do usuário, para descartar dados de menores de idade.

A empresa também coleta o chamado Advertising ID, um identificador para fins de publicidade único para cada celular. A In Loco diz que aplica uma função de hash e criptografia quando coleta o Advertising ID, e que o faz para duas finalidades:

• Contagem única e criação de perfil de usuários, que serão agregados em clusters sem a utilização do Advertising ID; e
• Para recuperação do Advertising ID em casos estritamente necessários, como obrigações legais, garantia dos direitos dos titulares dos dados ou compartilhamentos descritos anteriormente nesta Política. O ID encriptado é acessado por um número restrito de colaboradores que têm acesso à chave criptográfica.

Perrone explica que esse tipo de dado, também previsto na LGPD (artigo 12), é chamado de pseudo-anonimizado: “São dados individualizáveis, portanto seriam dados pessoais, mas são usadas várias técnicas — aparentemente [no caso da In Loco] a supressão de identificadores e criptografia — para torná-los não diretamente identificáveis. Ou seja, uma pessoa que não tenha acesso autorizado ao dado [obtê-lo], muito provavelmente não conseguirá identificar a pessoa”.

O Advetising ID é uma das chaves para bloquear a presença da In Loco em seu celular. A própria startup explica como nesta página. Quem usa iPhone só precisa desativar o Advertising ID — uma dica dada por este Manual do Usuário há uns bons anos e repetida em 2019. Entre no app Ajustes, depois em Privacidade, role a página até o final e toque em Publicidade. Na tela seguinte, ative a opção Limitar Publicidade Rastreada.

O Android também permite desabilitar o Advertising ID, mas a In Loco orienta caminhos diferentes para o opt-out no sistema do Google. O primeiro é, no mínimo, estranho: um aplicativo que pede permissões invasivas, como a localização do usuário, redes Wi-Fi próximas e acesso total à rede. O outro é informando à In Loco, naquela página mesmo, o Advertising ID do aparelho — há um link bem difícil de ver no bloco referente ao Android:

Atualizada em 28/4 com uma correção na interpretação do Índice de Isolamento Social da In Loco, no segundo parágrafo do texto.

Foto do topo: In Loco/Divulgação.