LGPD: o Telegram e a Proteção de Dados

LGPD - Telegram e proteção de dados

Geneses IT

Somos feitos de gente + serviços + Tecnologia.

Compartilhar

Desde 9 de junho de 2019, quando o sítio da internet The Intercept Brasil (https://theintercept.com/brasil) começou a revelar supostas conversas hackeadas de autoridades da nossa República, do aplicativo de mensagens Telegram, uma série de questionamentos passaram a ser feitos sobre privacidade e segurança da informação.

Diante desse fato público surgiu a curiosidade de conhecer a política de privacidade deste aplicativo. A indagação que não saia da minha cabeça era sobre o que era prometido pelo app sobre privacidade e segurança dos seus usuários.

Nessa linha, outra indagação que poderia ser feita sobre esse episódio é: e se isso tivesse ocorrido na vigência da LGPD. Não temos a pretensão de esgotar o assunto por aqui, mas de fazer uma avaliação prática sobre a política de privacidade do app e os impactos desse episódio/incidente de insegurança.

Registre-se que o presente artigo se restringirá à análise da política de privacidade e segurança do aplicativo, em meio à vacatio legis – período entre a promulgação de uma lei e a sua vigência – da LGPD, a Lei Geral de Proteção de Dados.

A partir dessa contextualização, interessante ressaltar a análise de Edison Fontes(1), segundo o qual os “acessos indevidos, ações de destruição, ou alteração em ambientes de terceiros são considerados atos ilegais“. 

O fato de tais condutas acontecerem no ambiente computacional em nada afetam a sua condição de ilícito.

O mundo virtual, portanto, é apenas um novo meio onde ocorre o ilícito, mas a conduta é a mesma daquelas tipificadas tradicionalmente nas legislações penais.

O desenvolvimento de aplicativos, portanto, reclamam desde a concepção que a segurança da informação e a proteção efetiva dos dados pessoais sejam pensados previamente ao desenvolvimento (privacy by design), de forma que o usuário por relapso que seja esteja seguro (privacy by default).

Constatadas as vulnerabilidades durante esse processo de privacy by design, essas deverão ser mitigadas para que o serviço seja colocado em uso ofertando a segurança esperada.

As políticas de privacidade deverão ser pensadas não apenas como documento informativo, mas como explicação do que efetiva e verdadeiramente acontece no âmbito da aplicação, em linguagem leiga, transparente e clara.

Esses documentos referentes ao app deverão estar destacados, visíveis e disponíveis previamente ao input dos dados pessoais.

A partir dessas premissas, passo a analisar o caso do Telegram, diante dos últimos acontecimentos midiáticos.

Esclareço que, apesar de ser uma empresa de origem russa, sediada em Dubai, como tratado na sua política de privacidade, quanto aos usuários estabelecidos no Brasil, onde a coleta dos seus dados pessoais se dão aqui no Brasil, ainda que estejam armazenados em cloud no exterior, será alvo dos ditames da LGPD.

DA ANÁLISE PRÁTICA DO APP TELEGRAM E SUA ADERÊNCIA ÀS NORMAS DE PRIVACIDADE E PROTEÇÃO DE DADOS:

Ao baixar o app da loja de aplicativos, as primeiras informações, apesar de se tratar de um app comercializado no Brasil, são veiculadas na língua inglesa, o que dificulta o acesso a informação àqueles que não têm conhecimento daquela língua:

Print Telegram e Informações

As mensagens em inglês aparecem nas seis primeiras telas do aplicativo:

Print Telegram e Informações

Se você fizer a opção por clicar em “continuar em português” será direcionado imediatamente para a tela de input do seu número de telefone, ou seja, antes de qualquer informação sobre a política de privacidade e termos de uso do app, você já é obrigado a inserir dados que te identificam – a lógica no âmbito da LGPD e até do GDPR deveria ser o contrário:

Print Telegram e Informações

 

Na tela seguinte, em suas informações é solicitada a sua fotografia (não obrigatória), nome e sobrenome. Ao final, antes avançar informa que: “Ao inscrever-se, Você concorda com os Termos de Serviço”:

Print Telegram e Informações

Ao clicar em termos de serviço, você só é informado em três itens do que não pode fazer, sem qualquer outra explicação sobre segurança, privacidade e proteção dos seus dados pessoais inseridos no sistema do app;

Tempo de guarda, motivo da coleta, forma de tratamento, compartilhamento, retenção, exclusão dos dados, nada disso é informado, ou seja, apesar de informar estar adequado ao GDPR, isso não se constata, da mesma forma que a disposição atual do app não atende a transparência e clareza exigida pela LGPD na informação do usuário antes de informar seus dados:

Print Telegram e Informações

Na sequência pede acesso a contatos e autorização para enviar notificações, o que se dá por configurações do próprio aparelho, e que nesse quesito, ocorre de forma clara e com a possibilidade de não aceitação de compartilhar tais acessos, o que atende às exigências da LGPD;

Aceitando ou não compartilhar os acessos requeridos no item anterior, o app está habilitado e você está inserido no contexto da comunidade do app mensageiro.

A política de privacidade está escondida em configurações, local pouco acessado pelo cidadão mediano, que sequer detém conhecimentos, na maioria dos casos, para acessar referidos locais.

A desenvolvedora do app de Dubai ao desenvolver o seu app deve pensar no perfil do homem médio, esse o espírito que norteia as legislações de proteção de dados do mundo todo, daí a razão da exigência da clareza e transparência na comunicação com o usuário, que não é percebida nestes itens abordados acima;

Quanto a política de privacidade do Telegram em si: 

De acordo com a publicação veiculada no site Tecnoblog(2), ainda em 2018, a atual política de privacidade do Telegram foi atualizada naquele ano, visando atender à regulamentação do GDPR, conforme foi afirmado pelo CEO Pavel Durov diz à RFE/RL.

Ainda de acordo com a mesma notícia, a única alteração na política de privacidade se deu para alertar aos usuários que o IP e número do celular poderiam ser compartilhados com autoridades judiciais em caso de ordem exarada em processo, e que isso não tinha como interesse compartilhar informações com a Rússia, onde o aplicativo teria sido banido, por não compartilhar dados de usuários.

A análise dos termos de uso é desnecessária, pois, como demonstrado acima, refere-se apenas ao que o usuário não deve fazer, em três parcos tópicos.

No que se refere a política de privacidade escondida no botão configurações, passa-se a análise de alguns pontos específicos já que, como dito inicialmente, a ideia aqui não é esgotar o assunto, mas uma análise de vulnerabilidades das políticas no prisma da LGPD:

Por primeiro o Telegram defende que os seus dois pilares centrais são:

Print Telegram e Informações

O app afirma que como privacidade foi o motivo pelo qual foi desenvolvido o Telegram, não haveria muito o que mudar com o advento do GDPR (lei européia de proteção de dados);

Aqui cabe um parênteses para dizer que as imagens anteriores demonstram que não é bem esse o espírito que ocorre ao ser procedida a instalação e inscrição no sistema;

A ausência de transparência sobre a privacidade e forma de tratamento dos dados é uma necessidade de revisão para atender tanto ao GDPR como a LGPD;

O app provoca a concorrência e afirma que como não pertence a nenhuma família de empresas, que não usam o app para segmentação de anúncios, que não vendem dados para outras pessoas, dentre outros;

A aplicação defende sua máxima segurança em razão de chats secretos que possuem criptografia de ponta a ponta, motivo pelo qual não possuem dados a serem compartilhados ou divulgados;

Registre-se que os recentes episódios de vazamento de dados por hackers sobre altos personagens da República, a se confirmar a sua veracidade, dão conta de que há rastro de dados em suas bases;

Informa, ainda, que os dados não cobertos pela criptografia de ponta a ponta são armazenados em vários data center do mundo, controlados por diferentes entidades jurídicas e que, as chaves de decodificação são divididas em partes e nunca guardadas no mesmo lugar. Como resultado, afirmam que várias decisões judiciais de diferentes jurisdições são necessárias para que eles entreguem dados:

Print Telegram e Informações

Afirmam ser mais seguros que seus concorrentes e que se você for um paranoico por segurança (termo da privacidade do Telegram) que utilize o chat secreto que você estará seguro, pois essas mensagens não deixam rastro em seus servidores, que oferecem suporte a mensagens autodestrutivas, e esses servidores não fazem parte da nuvem.

Print Telegram e Informações

Defendem a sua segurança desafiando hackers a quebrá-las mediante o pagamento de uma aposta de US$300.000 (trezentos mil dólares);

No fim de tudo, porém, alerta que não poderá protegê-lo de sua própria mãe, se ela pegar o seu aparelho para bisbilhotar ou de seu departamento de TI, se eles acessarem seu pc de trabalho.

Óbvio que a carga de responsabilidade pela segurança da aplicação é absolutamente da corporação desenvolvedora da aplicação. Entretanto, o titular dos dados tem papel preponderante na busca por evitar que os seus dados pessoais sejam objeto de ilícito, adotando padrões comportamentais de segurança no ambiente virtual, assim como faz na vida real.

De qualquer forma, no que concerne a responsabilidade pela segurança do app pela desenvolvedora, no meu entendimento a promessa da segurança da aplicação com metodologias tão modernas, como sistemas de mensagens autodestrutivas, chats secretos, etc, somente podem ser tratados dessa forma, se esse for o padrão (privacy by default) definido de fábrica.

A lógica da LGPD é que o titular é que deverá fazer opções que reduzam, a seu critério, eventuais ferramentas de segurança previamente definidas em seu grau máximo.

Logo, se há o mecanismo do chat secreto e da mensagem autodestrutiva e se a desenvolvedora divulga seu produto como o mais seguro do mercado, zombando da concorrência como faz em sua política de privacidade, por causa desses mecanismos, a regra deve ser que todas as conversas sejam processadas dessa forma, e não no método convencional de criptografia armazenada em nuvem sem essas ferramentas.

Mais uma vez, insista-se o app cai em descrédito se forem confirmadas como verdadeiras as mensagens interceptadas tratadas no início do texto.

Portanto, para o âmbito da LGPD, ao pensar em política de privacidade, a partir da análise do caso Telegram, pode-se concluir, de forma resumida que:

  1. o desenvolvimento da ferramenta tem que pensar em privacy, by design e privacy by default;

1.1. Não se compatibiliza com essas metodologias o padrão das conversas vir habilitado no modo menos seguro, de armazenamento em cloud, por exemplo, e não no modo de chat secreto;

1.2. A existência do chat secreto, por si, revela que a existência de método de segurança mais eficaz, que deveria ser a tônica da aplicação;

2. O app deve proporcionar clareza e transparência não apenas sobre dados coletados e tratados, mas sobre os termos de uso e toda a política de privacidade, que não pode estar escondida nos quintais do aplicativo;

2.1. Equivocada a exigência de inputs de dados antes mesmo do cidadão poder avaliar o app e seus termos de uso e privacidade para poder aderir ou não ao seu uso;

3. A aplicação se vangloria de ser efetivamente segura e, tendo esses mecanismos tecnológicos contra pessoas mal intencionadas, não há nenhum sentido para não exibir isso com orgulho em suas páginas iniciais, antes de exigir o opt in do usuário e na língua nativa de onde se pretende coletar os dados;

4. Apesar de atacar concorrentes, tem práticas semelhantes àquelas que os levaram a tomar multas mundo afora nos últimos meses diante de políticas genéricas de coleta do consentimento;

5. Nesse caso, a obtenção do consentimento granular sobre atividades do app seria uma boa prática a ser desenvolvida;

Por fim, um importante registro a ser feito, diante dos incidentes recentes e dos inúmeros episódios de vazamentos de conversas e hackeamento de telefones que utilizam o app, de acordo com a GDPR e a LGPD que entrará em vigor, a política de privacidade e da segurança já deveria estar retratada e atualizada como possível de ser violada, e com as medidas adotadas para mitigação dos riscos, inclusive como forma de alertar os menos avisados, para evitar novos incidentes.

Saiba mais: 
www.geneses.com.br
www.seusdados.com
Linkedin: Marcelo Fattori

Comentar via Facebook

Comentário(s)