Imagem de ilustração do projeto, com o fundo verde-água intercalado por blocos da cor azul claro, com os textos escritos em branco "dados pessoais de crianças! pra quê?", centralizado à esquerda, e "Especial Apps para Crianças InternetLab", centralizado à direita.

ESPECIAL | Dados pessoais de crianças! Pra quê?

Notícias Privacidade e Vigilância 18.10.2017 por Francisco Brito Cruz, Jacqueline Abreu e Maria Luciano

A maioria dos aplicativos que crianças têm no celular ou tablet foram baixados gratuitamente. Mas então como essas empresas sobrevivem? Apesar de não haver remuneração em dinheiro, você não deixa de pagar por esses apps. Em troca dos apps, você oferece dados, que podem ser explorados economicamente, e atenção, aos anúncios exibidos dentro do aplicativo.

Imagem de ilustração do projeto, com o fundo verde-água intercalado por blocos da cor azul claro, com os textos escritos em branco "dados pessoais de crianças! pra quê?", centralizado à esquerda, e "Especial Apps para Crianças InternetLab", centralizado à direita.

Se é esse o caso, é importante que esteja bem explicado quais dados o aplicativo coleta e processa, para quais finalidades eles são usados, com quem são compartilhados, como são protegidos contra terceiros maliciosos, se e que tipos de anúncios são exibidos no app. O fundamento dessa exigência é simples: pra que fique bem claro no que nós estamos nos metendo, espera-se, no mínimo, transparência sobre o que os apps estão fazendo.

É justamente para esse ponto que nós olhamos nesse terceiro post da série ESPECIAL Apps para Crianças.

Nossos Achados

1. Todos os apps informam em alguma medida quais dados são coletados e o que fazem com eles, mas a forma e qualidade da informação é bastante variada.

Nesse quesito, as políticas de privacidade que mais nos chamaram atenção negativamente foram as da desenvolvedora brasileira ZeroUm, responsável pelos apps super-populares Galinha Pintadinha: Músicas e Jogos para Crianças, Patati Patatá e Os Pequerruchos, que diz apenas que os apps coletam “informações suas”, sem dar maiores pistas do que é isso; e a do app Once upon a tower, que não informa a finalidade da coleta de dados e se limita a dizer que não trata dados sensíveis, então nem entra no mérito do que faz com outros dados.

Print de tela com os textos: "Pomelo Games Privacy Policy - Pomelo Games is comitted to protecting the privacy of our players. This privacy policy describes how Pomelo Games uses and protects any information that you give us when you play any of our games", "Sentive Information - Sensitive information is defined in the US Privacy Act (1974) to include information or opinion about such thins as an individual's racial or ethinic origin, political opinions, membership of a political association, religious or philosophical beliefs, membership of a professional body, criminal records or helth information" e "Pomelo Games will not attempt to obtain nor record any sentive information".
App Once upon a tower promete “não tentar obter ou registrar qualquer informação sensível”, mas mais para frente na política de privacidade, afirma que “dados não-pessoais” são coletados por terceiros

Entre os demais, a maioria dos aplicativos consultados especifica em alguma medida os dados que coleta [1]. Alguns separam entre “dados pessoais”, “dados sensíveis”, “dados não-pessoais”, “dados agregados”, todos termos da arte que possuem alguma implicação jurídica. Outras empresas optam por informar diretamente quais dados são esses: os que as pessoas informam, os que são gerados automaticamente no uso do app, os que são obtidos do aparelho (como identificação único e geolocalização), etc.

Print de tela com o texto, em fundo branco: "What kind of Information is Collected? There are two types of data that may be collected. The first one is called personal data. This is personally identifiable information that identifies a user as an individual. Toca Boca may collect personal data that parents voluntarily provide on the website. The second type is non personal data which doesn't directly identify an individual or which may have been personal information but has had the personally identifiable information removed. Toca Boca may collect non personal information about the use of the website and apps to help us improve our services".
App Toca Kitchen Monsters informa sobre informações coletadas distinguindo-as entre dados pessoais e dados não-pessoais

Junto dessas informações, vêm esclarecimentos sobre o que é feito com os dados: onze [2] deles elencam com grau detalhado os diversos usos que envolvem os dados coletados, como desenvolver novos serviços, exibir anúncios, proteger o desenvolvedor e os usuários, investigar e prevenir atividades potencialmente ilegais ou que violem os termos de uso, resolver problemas relacionados à utilização do app, e enviar respostas a demandas dos usuários.

Print de tela com o texto: "Política de privacidade da Nintendo. Última atualização: 09/2017. A Nintendo compreende a importância de sua privacidade, portanto leia atentamente nossa política de privacidade. Nossa política se destina a auxiliá-lo a conhecer os tipos de informações que coletamos, como as utilizamos e compartilhamos e como as protegemos. Esta Política de privacidade se aplica a todos os serviços Nintendo diretamente citados ou relacionados a esta política, mas não se aplica aos serviços Nintendo abrangidos por políticas de privacidade específicas que não incluem esta política." e "Tipos de informações que coletamos: 1- Informações que você nos fornece: Quando você registra e utiliza nossos serviços, coletamos as informações que você nos fornece. Essas informações podem ser seu nome, endereço de e-mail ,número de telefone, data de nascimento, país de residência, idioma, gênero e fuso horário; 2- Informações que coletamos quando você utiliza nossos serviços: Também coletamos e processamos informações sobre sua utilização dos nossos serviços. Essas informações podem ser sobre seu dispositivo, localização, interação com nossos serviços e outros usuários Nintendo, seu conteúdo e suas compras; 3- Informações sobre seu dispositivo: Quando você utilizar nossos serviços, poderemos coletar informações específicas sobre seu dispositivo ou relacionadas a ele, como o modelo de produto, número de ́série, sistema operacional, configurações, desempenho de dispositivo, provedor de acesso à Internet, endereço IP e outros identificadores únicos; 4- Informações sobre sua localização: Com sua autorização, poderemos coletar e processar informações sobre sua localização exata. Quando tivermos informações sobre sua localização, elas serão utilizadas para adequar nossos serviços a você e outros usuários, auxiliando-o a estabelecer relações amigáveis com outros usuários Nintendo ou avisando aos seus amigos que você está nas proximidades."
Recorte da Política de Privacidade do App Super Mario Run: especificações sobre informações coletadas

2. Poucos aplicativos endereçam questões sobre segurança de dados detalhadamente.

Casos de ataques cibernéticos, furto e vazamento de dados têm sido cada vez mais frequentes: o WannaCry, Equifax e o Petya são apenas alguns exemplos. Esses ataques têm suscitado o debate a respeito das políticas de segurança adotadas por empresas que detém nossos dados. Que medidas elas adotam para impedir que dados, nossos e das nossas crianças, caiam em mãos erradas?   

Seis aplicativos (Snack vs. Block, PlayKids: Aprender Brincando, Pou, Slither.io, Meu Talking Tom, Jogos Boutique Princesa Tailor) simplesmente não tratam de medidas de segurança em suas políticas de privacidade. Dos demais, apenas 3 (Football Strike, O Show da Luna! Jogos e Vídeos e Toca Kitchen Monsters) descrevem as medidas que adotam. Ademais, 7 aplicativos (Super Mario Run, Perguntados, Toca Kitchen Monsters, Duolingo, O Show da Luna! Jogos e Vídeos, Sweet Baby Girl Doll House – Play, Care & Bed Time e Creche Sweet Baby Girl 4) admitem que, apesar de adotarem medidas de segurança, nenhuma estrutura de segurança é “impenetrável”.

3. A maioria dos apps se silencia sobre a possibilidade de exclusão de dados.

Nove dos 20 apps selecionados não tratam da exclusão de dados dos usuários (Snack vs. Block, Once upon a tower, Galinha Pintadinha: Músicas e Jogos para crianças, Patati Patatá, Os Pequerruchos, Pou, 8 Ball Pool, O Show da Luna! Jogos e Vídeos, e Jogos Boutique Princesa Tailor). De acordo com o Marco Civil da Internet, a exclusão definitiva dos dados pessoais ao término da relação entre usuário e aplicações de internet é um direito assegurado (art. 7º, X) [3].

4. Exploração de dados de uso, utilização de cookies, e compartilhamento de dados é praxe na indústria, mesmo para apps infantis.

Dezesseis dos 20 aplicativos analisados afirmam que coletam dados de uso (usage data) [4]. Essas são informações a respeito da maneira como o usuário utiliza o aplicativo, como seus hábitos de uso, preferências, e funcionalidades que utiliza ou não. Essas informações revelam padrões comportamentais, seus interesses e demandas dentro das funcionalidades de determinado aplicativo.  

A maior parte das vezes, essas informações são compartilhadas com terceiros. De fato, a maioria dos apps que consultamos admite compartilhar informações com anunciantes, empresas de análise de dados agregados ou empresas ‘da mesma família’. A única exceção é Jogos Boutique Princesa Tailor, que afirma não compartilhar dados dos usuários com ninguém. A política de privacidade da desenvolvedora brasileira ZeroUm (dos apps Galinha Pintadinha: Músicas e Jogos para crianças, Patati Patatá e Os Pequerruchos) simplesmente se silencia sobre essa questão: não diz nada sobre quais dados, com quem, e para quê são compartilhados. Vale lembrar que esse é um aspecto importante para que o usuário se informe da possibilidade de combinação de dados pelas empresas, que, juntos, permitem a construção de perfis digitais detalhados dos usuários.

Imagem com o texto "Quando muitos apps compartilham dados com a mesma empresa, essa empresa pode desenvolver um perfil detalhado de todos os dados associados ao ID de um aparelho" à esquerda e "Especial Apps para Crianças InternetLab" à direita, com o infográfico que liga os ícones de estrela e legenda "identificador do aparelho e dados de uso"; de console de jogo e legendas "identificador do aparelho e dados de uso" e "número de telefone"; de pirulito e legendas "identificador de aparelho e dados de uso" e "geolocalização"; e de peça de quebra-cabeça e legenda "identificador do aparelho e dados de uso" com a palavra "Empresa X", ligada a frase "identificador do aparelho" e os ícones estrela - dados de uso; console de videogame - dados de uso; console de videogame - número de telefone; pirulito - dados de uso; pirulito - geolocalização, peça de quebra-cabeça - dados de uso; estrela - dados de uso.
Os invisíveis: plataformas de anunciantes recebem dados de milhões de apps e conseguem construir perfis de usuários para publicidade direcionada [5]
Outra ferramenta usada para coletar esse tipo de dado são os cookies, arquivos de textos que têm como principal função armazenar as preferências dos usuários. 13 dos aplicativos analisados (Super Mario Run, Perguntados, Football Strike, PlayKids: Aprender Brincando, Toca Kitchen Monsters, Pou, Meu Talking Tom, 8 Ball Pool, Duolingo, O Show da Luna! Jogos e Vídeos, Sweet Baby Girl Doll House – Play, Care & Bed Time, Creche Sweet Baby Girl 4 e Jogos Boutique Princesa Tailor) admitem expressamente utilizar cookies. A política de privacidade da desenvolvedora brasileira ZeroUm, que está por trás dos apps Galinha Pintadinha: Músicas e Jogos para crianças, Patati Patatá, não fala nada sobre isso.

Os dados de uso e as informações armazenadas pelos cookies dizem muito sobre o comportamento e os interesses dos usuários. Esses dados podem ser úteis, por exemplo, para personalizar serviços e funcionalidades oferecidos por um aplicativo. E também são valiosos na publicidade direcionada. Ao manter um registro de comportamento por meio de páginas visitadas, registro de geolocalização e termos pesquisados em sites de busca, anunciantes conhecem mais a respeito do perfil dos usuários e podem customizar anúncios para eles, direcionando seus produtos para potenciais clientes.
Confira a política de privacidade de todos os apps que fizeram parte desta pesquisa clicando nos respectivos links abaixo:

[1] Super Mario Run, Perguntados, Football Strike, Playkids: Aprender Brincando, Toca Kitchen Monsters, Subway Surfers, Pou, slither.io, Meu Talking Tom, 8 Ball Pool, Duolingo, O Show da Luna! Jogos e Vídeos e Jogos Boutique Princesa Tailor, Once upon a tower, Sweet Baby Girl Doll House – Play, Care & Bed Time e Creche Sweet Baby Girl 4, Snake vs. Block.

[2] Snack vs. Block, Super Mario Run, Perguntados, Football Strike, PlayKids: Aprender Brincando, 6Pou, slither.io, 8 Ball Pool, O Show da Luna! Jogos e Vídeos, Sweet Baby Girl Doll House – Play, Care & Bed Time, Creche Sweet Baby Girl 4.

[3] “Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: (…) X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; (…)”.

[4] Snack vs. Block, Super Mario Run, Football Strike, PlayKids: Aprender Brincando, Toca Kitchen Monsters, Subway Surfers, Pou, Meu Talking Tom, 8 Ball Pool, Duolingo, Galinha Pintadinha: Músicas e Jogos para crianças, Patati Patatá, Os Pequerruchos, Jogos Boutique Princesa Tailor, Sweet Baby Girl Doll House – Play, Care & Bed Time e Creche Sweet Baby Girl 4. Galinha Pintadinha: Músicas e Jogos para crianças, Patati Patatá e Os Pequerruchos não o fazem expressamente, mas falam em identificar quais de seus produtos podem interessar ao usuário.

[5] Infográfico inspirado em FTC Report. Mobile Apps for Kids: Disclosures Still Not Making The Grade. Dezembro de 2012, p. 14.

Equipe envolvida neste projeto: Francisco Brito Cruz (francisco@internetlab.org.br), Jacqueline de Souza Abreu (jacqueline@internetlab.org.br) e Maria Luciano (maria.luciano@internetlab.org.br). Colaboraram: Dennys Antonialli e Pedro Lima.

compartilhe