vozes-noel

Ilustração: Amanda Jungles/The Intercept Brasil; Staten Island Advance

A tradicional foto com Papai Noel no shopping, um dos costumes mais questionáveis de Natal, foi cancelada neste ano por causa da pandemia. No lugar de colocar a criança chorando no colo do bom velhinho, o Shopping Recife resolveu inovar: criou um cartão de natal interativo, em que os pais enviam fotos dos filhos e o sistema monta um vídeo customizado. A novidade bombou e ganhou cobertura em tom de propaganda: saiu no G1, na Gazeta do Povo, em guias de programas com crianças e chegou aos grupos de mães.

Foi em um deles que Paula Martini ficou sabendo da iniciativa, divulgada com entusiasmo por outras mães. “Todas mulheres informadas, totalmente encantadas com o Papai Noel mostrando foto do filho, e eu só pensava na política de privacidade”, ela me contou. Para gerar o tal vídeo customizado, é preciso mandar, além da foto da criança, dados dos pais e dela própria – inclusive seus “interesses”. A política de privacidade, que regula a maneira como a empresa trata e armazena os dados, sequer está disponível na página inicial. Para ter acesso a ela, é preciso entregar as informações antes, o que contraria a Lei Geral de Proteção de Dados, a LGPD, que prevê consentimento “inequívoco” sobre o uso dos dados.

Só depois disso os responsáveis descobririam que os termos de uso são extremamente problemáticos. Eles dizem, por exemplo, que o shopping pode coletar, além das informações que os pais preenchem, também registros de acesso e geolocalização. Também afirmam que os dados podem ser armazenados e processados não apenas pelo Shopping Recife, mas também por “suas empresas”. Detalhe: o grupo ao qual o shopping pertence é um conglomerado poderoso no Nordeste, com dezenas de companhias. Elas não estão especificadas no texto. Na prática, os pais não têm a menor ideia de onde os dados e as fotos de seus filhos irão parar.

shopping-recife

A página inicial da campanha não tem nenhuma informação sobre a política de proteção de dados.

Foto: Reprodução/Natal Shopping Recife

Os termos de uso dizem que os dados serão excluídos depois do Natal, mas se reserva ao direito de mantê-los “por motivo de lei, ordem judicial, prevenção à fraude, proteção ao crédito e outros interesses legítimos” – seja lá o que isso for. Além disso, avisa, a política pode ser alterada unilateralmente a qualquer momento, sem aviso.

Surpresa, Martini entrou em contato com o serviço de atendimento ao consumidor do shopping perguntando o que deveria estar claro aos clientes: com qual empresa ficam armazenados os dados? Por quanto tempo? E para que são usados? O responsável pelo atendimento afirmou que os dados ficariam “no nosso banco de dados apenas no período da ação” – o que contraria os termos, que é o que vale. E que “a participação na ação não é obrigatória, bem como o preenchimento dos dados”. Que bom, né?

Martini, que é pesquisadora na área de tecnologia e criadora do projeto de educação midiática Internet das Pessoas, procurou o Instituto Alana, ONG de defesa de direitos da criança, e o Instituto Beta para Democracia na Internet. Ambos manifestaram preocupações sobre a ação do shopping. E se os dados forem usados pelas “empresas” do grupo para, por exemplo, envio de publicidade direcionada de acordo com os gostos das crianças? Pior: e se um vazamento fizer com que as fotos das crianças e os dados pessoais de seus pais – lembre-se que a geolocalização está entre eles – caiam nas mãos de criminosos?

‘É muito fácil perverter o espírito natalino para um aspirador industrial de dados pessoais de milhões de pessoas, adultos e crianças’.

Alguém pode simular, por exemplo, que a criança sofre algum tipo de ameaça e exigir um resgate. Há também quadrilhas especializadas em venda ilegal de retratos infantis em redes de pedofilia. E uma reportagem da Quartz denunciou que cibercriminosos capturam imagens de crianças para criar perfis falsos, com um passado e uma história fictícios que pareçam reais (histórias de abandono e de adoção ou problemas de saúde, por exemplo). Depois, esses perfis podem ser usados para criar campanhas de arrecadação, por exemplo. Qual a garantia de que as fotos e os dados coletados pelo shopping estão a salvo desse tipo de coisa.

“Não basta boa intenção e nesse caminho tomado pelo Shopping Recife é muito fácil perverter o espírito natalino para um aspirador industrial de dados pessoais de milhões de pessoas, adultos e crianças”, me disse Paulo Rená, pai, jurista e representante do Instituto Beta para Democracia na Internet. “Mesmo que os termos de uso não se mostrassem tão abusivos e pouco cuidadosos, bastaria um pequeno deslize de qualquer envolvido nessa ação para que a tranquilidade de milhões de pais e mães derretesse como neve. E não há exatamente transparência”.

Segundo a Lei Geral de Proteção de Dados, a LGPD, dados pessoais de crianças e adolescentes só podem ser utilizados para “melhor interesse” delas. Isso não inclui, é claro, envio de publicidade segmentada e ações comerciais. “É ilegal o tratamento de qualquer dado pessoal de pessoas com menos de 18 anos para fins comerciais”, explica Marina Meira, advogada do programa Criança e Consumo do Instituto Alana. Para ela, a ação do shoppping pode representar “significativos riscos” à segurança, à privacidade e ao direito de crianças e adolescentes de serem protegidos de uma verdadeira exploração comercial.

Segundo reportagem com tom de propaganda paga da Gazeta do Povo, até o fim de novembro mais de 2 milhões de vídeos haviam sido gerados para a ação. Procurei o Shopping Recife por três dias, por e-mail e telefone, para confirmar os números e saber mais sobre a política de proteção de dados. Não consegui falar com os responsáveis.

O Shopping Recife pertence ao Grupo João Paulo Paes Mendonça, conhecido como JCPM. O grupo, que tem 85 anos, tem dezenas de empresas. São 10 shoppings centers no Nordeste, empreendimentos imobiliários em Pernambuco, Bahia e Ceará e o Sistema Jornal do Commercio de Comunicação, que inclui o portal NE10, a TV Jornal, o Radio Jornal e o próprio Jornal do Commercio. Todos eles, em tese, poderiam ter acesso aos milhões de dados que os pais colocaram para criar seu inocente cartão interativo de natal.

“Com o CPF dos pais, tecnicamente consegue cruzar usuários que se logam em todas essas propriedades digitais e extrair dados comportamentais valiosos. Quanto vale, para uma loja de departamentos, por exemplo, poder direcionar ofertas para a mãe de uma menina prestes a entrar na escola? Ou que usa fraldas descartáveis?”, questiona Paula Martini.

No grupo de mães, ela conta, foi uma comoção quando ela manifestou essa preocupação. Várias se arrependeram de ter entregado as informações ao shopping. Mas já era tarde demais.