Proteção de dados no metaverso: preocupações similares, magnitude ampliada

Dentro da série que temos publicado sobre realidade estendida, hoje é dia de falar um pouco mais sobre proteção de dados pessoais. A proteção de dados é uma das preocupações centrais quando abordamos o assunto das tecnologias imersivas, tendo em vista a enorme quantidade de dados pessoais que é necessária para o funcionamento dessas aplicações.

No post de hoje, vou especialmente abordar a importância de políticas de privacidade robustas em aplicações de realidade estendida. Trarei também alguns exemplos do passado para ilustrar como mecanismos de transparência insuficientes nessas tecnologias podem levar a danos para toda a base de usuários.

Prepare-se para a encrenca: dados pessoais e internet

A internet é, por definição, um ambiente em que dados circulam em grande volume – entre eles, muitos dados pessoais. A própria conexão à rede pressupõe o uso de um dispositivo dotado de uma série de um IP, que pode ser utilizado para identificar usuários. Para além disso, a navegação em si, por padrão, envolve o uso de diversos outros identificadores: cookies, tags, histórico de utilização, entre outros.

Mas não para por aí: durante o uso de aplicações de internet no geral, ainda mais dados são utilizados para moldar nossas experiências em cada um dos serviços consumidos. Redes sociais, mecanismos de busca e sites no geral usam informações como nossa geolocalização, gostos pessoais, dados de navegação, entre outros, para moderar o conteúdo que nos é apresentado, bem como para formar perfis de consumo para direcionamento de anúncios, por exemplo.

Encrenca em dobro: tecnologias imersivas e ainda mais dados

Se o uso regular da internet já pressupõe um grande volume de dados pessoais sendo compartilhados com provedores de diversas naturezas, essa realidade apenas se amplifica quando pensamos em aplicações baseadas em realidade estendida. Tecnologias imersivas, como o nome permite pressupor, são aquelas que interagem com os sentidos dos usuários de forma a proporcionar uma sensação de maior imersão, desafiando nossas noções de “realidade” para garantir maior realismo nas experiências apresentadas. Essas são as tecnologias que compõem o que é anunciado hoje como o metaverso, conceito sobre o qual já discuti um pouco mais profundamente neste e neste texto.

É o caso das aplicações que fazem uso de realidade virtual e mista – não vou abordar as definições desses conceitos, mas minha colega Rafaela Ferreira recentemente escreveuum texto sobre esse tema específico. Cabe apontar que – embora isso não seja fundamentalmente necessário para o funcionamento dessas aplicações – dispositivos de realidade estendida disponíveis comercialmente, em sua vasta maioria – dependem de uma conexão ativa à internet para que possamos utilizá-los.

Pois bem, a conexão à internet poderia ser opcional, mas o que é de fato necessário para o funcionamento de tecnologias baseadas em realidade estendida é a coleta constante de informações sobre os movimentos, bem como dos ambientes que circundam cada usuário. Todas essas informações, por sua vez, são classificadas como dados pessoais – e somam-se a todos os demais dados coletados para o uso “regular” da internet para totalizar uma quantidade sem precedentes de informações pessoais sendo constantemente coletadas, utilizadas e armazenadas por plataformas digitais. Há ainda o agravante de que os dados de movimentação utilizados em ambientes imersivos são inseridos no subgrupo dos dados pessoais de natureza sensível, exigindo ainda mais atenção, mas isso será discutido mais profundamente em um post futuro.

Para proteger os dados da má utilização

Dentro desse contexto, a proteção de dados pessoais torna-se uma necessidade ainda mais urgente. É de certa forma reconfortante, assim, estarmos passando por um período de fortalecimento das normativas que buscam garantir a privacidade e a proteção de dados. Esse movimento se revitalizou com a aprovação do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), em 2016, e sua subsequente entrada em vigor, em 2018. Os novos enunciados europeus de proteção de dados pessoais influenciaram todo um movimento de renovação das previsões legais sobre o tema ao redor do mundo – inclusive no Brasil, onde a Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada logo em seguida, ainda em 2018. Isso, contudo, não impede que abusos sejam cometidos em ambientes de tratamento de dados pessoais, inclusive em situações de uso de realidade estendida.

Uma das mais importantes garantias previstas para titulares de dados pessoais para efetivação de seus direitos é o princípio da transparência, previsto em diversas normativas sobre proteção de dados ao redor do mundo. Por sua vez, uma das principais ferramentas de transparência sobre uso de dados pessoais empregadas hoje são as políticas de privacidade – documentos por meio dos quais provedores de aplicação fornecem aos usuários informações sobre as práticas de tratamento de dados pessoais realizadas durante o uso desses serviços.

Existem, contudo, diversos níveis de transparência possíveis. E alguns deles são simplesmente insuficientes para garantir os direitos de titulares de dados pessoais.

É essencial, por exemplo, que políticas de privacidade contenham informações nítidas, precisas e detalhadas não apenas sobre quais dados são coletados, mas também em quais situações e para quais finalidades. Atividades de compartilhamento desses dados com terceiros – empresas parceiras ou integrantes de um mesmo grupo econômico, por exemplo – também devem ser informadas de maneira granular: informações incompletas e permissionamentos genéricos não são suficientes para atender às expectativas de privacidade dos usuários (e nem sequer da legislação aplicável, em boa parte das vezes).

Para ilustrar o que apontei no parágrafo anterior, vale recuperar um episódio de 2018 envolvendo a empresa Oculus: fabricante do headset de realidade virtual Oculus Rift e integrante do então grupo Facebook (hoje, Meta). Na época, a GDPR estava prestes a entrar em vigor e a Oculus publicou uma nova versão de sua política de privacidade buscando adequar suas práticas à nova normativa. Contudo, o documento foi escrito de maneira ampla e imprecisa, de forma que as condições nele previstas autorizaram um compartilhamento essencialmente irrestrito de dados pessoais diversos (e não especificados) com as demais integrantes do grupo Facebook.

O episódio resultou em diversas críticas por parte da mídia jornalística e de usuários, que apontaram a opacidade das práticas de transparência adotadas pela empresa e exigiram esclarecimentos adicionais. Neste episódio do podcast Voices of VR, a situação é descrita em maiores detalhes.

Mais recentemente, em 2020, as discussões quanto às políticas de uso de dados pessoais da Oculus ganharam força novamente, com o anúncio de que a utilização dos headsets da Oculus passaria a exigir o login através de uma conta do Facebook. Essa posição foi revista em 2021, com o anúncio de que os usuários poderiam utilizar o acessório mediante login com outras contas, mas essa funcionalidade seguia em desenvolvimento na data da redação deste texto.

Para unir as pessoas em prol da adequação

Em um ambiente de uso constante de dados pessoais em que se observa também diversas práticas de transparência insuficientes para garantir os direitos das pessoas que utilizam a internet, é importante que cobremos as empresas provedoras dessas aplicações por melhores práticas de privacidade e proteção de dados. Essas preocupações se amplificam quando falamos de tecnologias imersivas, nas quais a coleta de dados se mostra ainda mais intensa.

Exigir níveis adequados de transparência na prestação desses serviços é um caminho para revelar com nitidez as práticas de tratamento de dados pessoais desempenhadas por essas empresas. Contudo, isso é apenas parte de um todo muito maior: a devida transparência deve ser acompanhada da exigência por um ambiente de tratamento de dados pessoais alinhado às expectativas da base de usuários de uma plataforma, bem como dos enunciados legais pertinentes. Busquemos transparência almejando melhores práticas no geral.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.