Facebook, WhatsApp e sua privacidade: o que você precisa saber

Esta história foi publicada originalmente no ProPublica por Peter Elkind , Jack Gillum e Craig Silverman ; Alex Mierjeski e Doris Burke contribuíram com reportagens.

Esclarecimento, 8 de setembro de 2021: uma versão anterior desta história causou confusão involuntária sobre até que ponto o WhatsApp examina as mensagens de seus usuários e se ele quebra a criptografia que mantém as trocas secretas.

Alteramos a linguagem da história para deixar claro que a empresa examina apenas as mensagens de tópicos que foram relatados pelos usuários como possivelmente abusivos. Não quebra a criptografia de ponta a ponta.

Quando Mark Zuckerberg revelou uma nova “visão focada na privacidade” para o Facebook em março de 2019, ele citou o serviço global de mensagens da empresa, o WhatsApp, como modelo.

Reconhecendo que “atualmente não temos uma forte reputação de construir serviços de proteção de privacidade”, o CEO do Facebook escreveu que “acredito que o futuro da comunicação mudará cada vez mais para serviços privados e criptografados, onde as pessoas podem ter certeza do que dizem umas às outras. permanece seguro e suas mensagens e conteúdo não ficarão para sempre. Este é o futuro que espero que ajudemos a criar. Planejamos construir isso da mesma forma que desenvolvemos o WhatsApp.”

A visão de Zuckerberg centrou-se no recurso de assinatura do WhatsApp, que ele disse que a empresa planeja aplicar ao Instagram e ao Facebook Messenger : criptografia de ponta a ponta, que converte todas as mensagens em um formato ilegível que só é desbloqueado quando chegam aos destinos pretendidos.

As mensagens do WhatsApp são tão seguras, disse ele, que ninguém mais - nem mesmo a empresa - pode ler uma palavra. Como Zuckerberg havia dito anteriormente, em depoimento ao Senado dos EUA em 2018, “não vemos nenhum conteúdo no WhatsApp”.

O WhatsApp enfatiza esse ponto de forma tão consistente que uma bandeira com uma garantia semelhante aparece automaticamente na tela antes que os usuários enviem mensagens: “Ninguém fora deste bate-papo, nem mesmo o WhatsApp, pode lê-los ou ouvi-los”.

Dadas essas garantias abrangentes, você pode se surpreender ao saber que o WhatsApp tem mais de 1.000 trabalhadores contratados ocupando andares de prédios de escritórios em Austin, Texas, Dublin e Cingapura.

Sentados em computadores em pods organizados por atribuições de trabalho, esses trabalhadores horistas usam um software especial do Facebook para filtrar milhões de mensagens privadas, imagens e vídeos.

Eles julgam tudo o que aparece em sua tela – alegações de tudo, desde fraude ou spam a pornografia infantil e possível conspiração terrorista – normalmente em menos de um minuto.

Os trabalhadores têm acesso apenas a um subconjunto de mensagens do WhatsApp – aquelas sinalizadas pelos usuários e encaminhadas automaticamente à empresa como possivelmente abusivas.

A revisão é um elemento de uma operação de monitoramento mais ampla em que a empresa também analisa o material não criptografado, incluindo dados sobre o remetente e sua conta.

Policiar os usuários enquanto garante a eles que sua privacidade é sacrossanta é uma missão complicada no WhatsApp. Uma apresentação interna de marketing da empresa de 49 slides de dezembro, obtida pela ProPublica, enfatiza a promoção “feroz” da “narrativa de privacidade” do WhatsApp.

Ele compara sua “caráter de marca” à “Mãe Imigrante” e exibe uma foto de Malala Yousafzai, que sobreviveu a um tiroteio do Talibã e se tornou ganhadora do Prêmio Nobel da Paz, em um slide intitulado “Parâmetros de tom da marca”.

A apresentação não menciona os esforços de moderação de conteúdo da empresa.

O diretor de comunicações do WhatsApp, Carl Woog, reconheceu que equipes de terceirizados em Austin e em outros lugares revisam as mensagens do WhatsApp para identificar e remover “os piores” agressores.

Mas Woog disse ao ProPublica que a empresa não considera esse trabalho como moderação de conteúdo, dizendo: “Na verdade, normalmente não usamos o termo para WhatsApp”.

A empresa se recusou a disponibilizar executivos para entrevistas para este artigo, mas respondeu às perguntas com comentários por escrito. “O WhatsApp é uma tábua de salvação para milhões de pessoas em todo o mundo”, disse a empresa.

“As decisões que tomamos sobre como construímos nosso aplicativo são focadas na privacidade de nossos usuários, mantendo um alto grau de confiabilidade e evitando abusos.”

A negação do WhatsApp de moderar o conteúdo é visivelmente diferente do que o Facebook Inc. diz sobre os irmãos corporativos do WhatsApp, Instagram e Facebook. A empresa disse que cerca de 15.000 moderadores examinam o conteúdo no Facebook e no Instagram, nenhum dos quais é criptografado.

Ele lança relatórios de transparência trimestrais que detalham quantas contas do Facebook e do Instagram “agiram” para várias categorias de conteúdo abusivo. Não existe tal relatório para o WhatsApp.

A implantação de um exército de revisores de conteúdo é apenas uma das maneiras pelas quais o Facebook Inc. comprometeu a privacidade dos usuários do WhatsApp.

Juntas, as ações da empresa deixaram o WhatsApp - o maior aplicativo de mensagens do mundo, com dois bilhões de usuários - muito menos privado do que seus usuários provavelmente entendem ou esperam.

Uma investigação da ProPublica, com base em dados, documentos e dezenas de entrevistas com atuais e ex-funcionários e contratados, revela como, desde a compra do WhatsApp em 2014, o Facebook silenciosamente minou suas amplas garantias de segurança de várias maneiras. ( Dois artigos neste verão observaram a existência de moderadores do WhatsApp, mas focaram em suas condições de trabalho e remuneração, em vez de seu efeito na privacidade dos usuários. Este artigo é o primeiro a revelar os detalhes e a extensão da capacidade da empresa de examinar mensagens e dados do usuário - e examinar o que a empresa faz com essas informações.)

Muitas das afirmações de moderadores de conteúdo que trabalham para o WhatsApp são repetidas por uma denúncia confidencial de um denunciante apresentada no ano passado à Comissão de Valores Mobiliários dos EUA.

A denúncia, que a ProPublica obteve, detalha o uso extensivo do WhatsApp de contratados externos, sistemas de inteligência artificial e informações de contas para examinar mensagens, imagens e vídeos de usuários. Ele alega que as alegações da empresa de proteger a privacidade dos usuários são falsas.

“Não vimos essa reclamação”, disse o porta-voz da empresa. A SEC não tomou nenhuma ação pública sobre isso; um porta-voz da agência se recusou a comentar.

O Facebook Inc. também minimizou a quantidade de dados que coleta dos usuários do WhatsApp, o que faz com eles e quanto compartilha com as autoridades policiais.

Por exemplo, o WhatsApp compartilha metadados, registros não criptografados que podem revelar muito sobre a atividade de um usuário, com agências de aplicação da lei, como o Departamento de Justiça.

Alguns rivais, como o Signal, coletam intencionalmente muito menos metadados para evitar invasões à privacidade de seus usuários e, portanto, compartilham muito menos com as autoridades. (“O WhatsApp responde a solicitações legais válidas”, disse o porta-voz da empresa, “incluindo ordens que exigem que forneçamos em tempo real daqui para frente com quem uma pessoa específica está enviando mensagens”.)

Os dados do usuário do WhatsApp, a ProPublica descobriu, ajudaram os promotores a construir um caso de alto nível contra um funcionário do Departamento do Tesouro que vazou documentos confidenciais para o BuzzFeed News que expôs como o dinheiro sujo flui pelos bancos dos EUA.

Como outras mídias sociais e plataformas de comunicação, o WhatsApp está preso entre usuários que esperam privacidade e entidades de aplicação da lei que efetivamente exigem o contrário: que o WhatsApp entregue informações que ajudarão a combater o crime e o abuso online.

O WhatsApp respondeu a esse dilema afirmando que não é nenhum dilema.

“Acho que podemos ter segurança e segurança para as pessoas por meio da criptografia de ponta a ponta e trabalhar com a aplicação da lei para resolver crimes”, disse Will Cathcart, cujo título é chefe do WhatsApp, em uma entrevista no YouTube com um think tank australiano em Julho.

A tensão entre privacidade e divulgação de informações para a aplicação da lei é exacerbada por uma segunda pressão: a necessidade do Facebook de ganhar dinheiro com o WhatsApp.

Desde que pagou US$ 22 bilhões para comprar o WhatsApp em 2014, o Facebook vem tentando descobrir como gerar lucros com um serviço que não cobra um centavo de seus usuários.

Esse enigma periodicamente leva a movimentos que irritam usuários, reguladores ou ambos. O objetivo de monetizar o aplicativo fazia parte da decisão da empresa em 2016 de começar a compartilhar dados de usuários do WhatsApp com o Facebook, algo que a empresa disse aos reguladores da União Europeia ser tecnologicamente impossível.

O mesmo impulso impulsionou um polêmico plano, abandonado no final de 2019, de vender publicidade no WhatsApp. E o mandato de busca de lucro estava por trás de outra iniciativa malsucedida em janeiro: a introdução de uma nova política de privacidade para interações de usuários com empresas no WhatsApp, permitindo que as empresas usem os dados dos clientes de novas maneiras.

Esse anúncio desencadeou um êxodo de usuários para aplicativos concorrentes.

O plano de negócios cada vez mais agressivo do WhatsApp está focado em cobrar das empresas por uma série de serviços – permitir que os usuários façam pagamentos via WhatsApp e gerenciar chats de atendimento ao cliente – que oferecem conveniência, mas menos proteções de privacidade.

O resultado é um confuso sistema de privacidade de dois níveis dentro do mesmo aplicativo, onde as proteções da criptografia de ponta a ponta são ainda mais corroídas quando os usuários do WhatsApp empregam o serviço para se comunicar com empresas.

A apresentação de marketing da empresa em dezembro captura os imperativos divergentes do WhatsApp. Ele afirma que “a privacidade continuará sendo importante”. Mas também transmite o que parece ser uma missão mais urgente: a necessidade de “abrir a abertura da marca para abranger nossos futuros objetivos de negócios”.

I. “Associados de moderação de conteúdo”

De muitas maneiras, a experiência de ser um moderador de conteúdo do WhatsApp em Austin é idêntica a ser um moderador do Facebook ou Instagram, de acordo com entrevistas com 29 moderadores atuais e anteriores.

Principalmente na faixa dos 20 e 30 anos, muitos com experiência anterior como balconistas, caixas de supermercado e baristas, os moderadores são contratados e empregados pela Accenture, uma grande empreiteira corporativa que trabalha para o Facebook e outros gigantes da Fortune 500.

As listas de empregos anunciam cargos de “Revisão de conteúdo” e não fazem menção ao Facebook ou WhatsApp. Os documentos de emprego listam o título inicial dos trabalhadores como “associado de moderação de conteúdo”. O pagamento começa em torno de $ 16,50 por hora.

Os moderadores são instruídos a dizer a qualquer um que pergunte que eles trabalham para a Accenture e são obrigados a assinar acordos abrangentes de confidencialidade. Citando os NDAs, quase todos os moderadores atuais e anteriores entrevistados pelo ProPublica insistiram no anonimato. (Um porta-voz da Accenture se recusou a comentar, encaminhando todas as perguntas sobre moderação de conteúdo para o WhatsApp.)

Quando a equipe do WhatsApp foi montada em Austin em 2019, os moderadores do Facebook já ocupavam o quarto andar de uma torre de escritórios na Sixth Street, adjacente ao famoso bar e cena musical da cidade.

A equipe do WhatsApp foi instalada no andar de cima, com novas cabines de trabalho envidraçadas e banheiros mais bonitos que provocaram uma pontada de inveja em alguns membros da equipe do Facebook. A maior parte da equipe do WhatsApp se dispersou para trabalhar em casa durante a pandemia.

Seja no escritório ou em casa, eles passam os dias na frente das telas, usando uma ferramenta de software do Facebook para examinar um fluxo de “tíquetes”, organizados por assunto em filas “reativas” e “proativas”.

Coletivamente, os trabalhadores examinam milhões de partes do conteúdo do WhatsApp a cada semana. Cada revisor lida com mais de 600 tíquetes por dia, o que lhes dá menos de um minuto por tíquete.

O WhatsApp se recusou a revelar quantos trabalhadores contratados estão empregados para revisão de conteúdo, mas uma lista parcial de funcionários revisada pela ProPublica sugere que, somente na Accenture, são mais de 1.000.

Espera-se que os moderadores do WhatsApp, como seus colegas do Facebook e Instagram, atendam às métricas de desempenho de velocidade e precisão, que são auditadas pela Accenture.

Seus trabalhos diferem de outras maneiras. Como o conteúdo do WhatsApp é criptografado, os sistemas de inteligência artificial não podem escanear automaticamente todas as conversas, imagens e vídeos, como fazem no Facebook e no Instagram.

Em vez disso, os revisores do WhatsApp obtêm acesso ao conteúdo privado quando os usuários clicam no botão “denunciar” no aplicativo, identificando uma mensagem como supostamente violando os termos de serviço da plataforma.

Isso encaminha cinco mensagens – a supostamente ofensiva junto com as quatro anteriores na troca, incluindo quaisquer imagens ou vídeos – para o WhatsApp de forma desembaralhada, de acordo com ex-engenheiros e moderadores do WhatsApp.

Os sistemas automatizados alimentam esses tíquetes em filas “reativas” para avaliação dos trabalhadores contratados.

A inteligência artificial inicia um segundo conjunto de filas - as chamadas proativas - ao escanear dados não criptografados que o WhatsApp coleta sobre seus usuários e compará-los com informações de contas suspeitas e padrões de mensagens ( uma nova conta enviando rapidamente um grande volume de chats é evidência de spam ), bem como termos e imagens que foram anteriormente considerados abusivos.

Os dados não criptografados disponíveis para exame são extensos. Inclui os nomes e imagens de perfil dos grupos do WhatsApp de um usuário, bem como seu número de telefone, foto de perfil, mensagem de status, nível de bateria do telefone, idioma e fuso horário, ID e endereço IP exclusivos do telefone móvel, intensidade do sinal sem fio e sistema operacional do telefone, como uma lista de seus dispositivos eletrônicos, quaisquer contas relacionadas no Facebook e Instagram, a última vez que usaram o aplicativo e qualquer histórico anterior de violações.

Os revisores do WhatsApp têm três opções quando recebem um ticket para qualquer um dos tipos de fila: não fazer nada, colocar o usuário em "observação" para um exame mais minucioso ou banir a conta. (Os moderadores de conteúdo do Facebook e do Instagram têm mais opções, incluindo a remoção de postagens individuais. É essa distinção - o fato de que os revisores do WhatsApp não podem excluir itens individuais - que a empresa cita como base para afirmar que os revisores do WhatsApp não são "moderadores de conteúdo". )

Os moderadores do WhatsApp devem fazer julgamentos subjetivos, sensíveis e sutis, entrevistas e documentos examinados pelo programa ProPublica.

Eles examinam uma ampla gama de categorias, incluindo “Relatório de Spam”, “Civic Bad Actor” (discurso político de ódio e desinformação), “Ameaça de credibilidade global do terrorismo”, “CEI” (imagens de exploração infantil) e “CP” (pornografia infantil) .

Outro conjunto de categorias aborda as mensagens e a conduta de milhões de pequenas e grandes empresas que usam o WhatsApp para conversar com clientes e vender seus produtos.

Essas filas têm títulos como “prevalência de representação comercial”, “prováveis ​​infratores da política comercial” e “verificação comercial”.

Os moderadores dizem que a orientação que recebem do WhatsApp e da Accenture se baseia em padrões que podem ser simultaneamente obscuros e perturbadoramente gráficos.

As decisões sobre imagens sexuais abusivas, por exemplo, podem basear-se em uma avaliação de se uma criança nua em uma imagem parece adolescente ou pré-adolescente, com base na comparação dos ossos do quadril e pelos pubianos com um gráfico de índice médico.

Um crítico relembrou um vídeo granulado em uma fila de discurso político que mostrava um homem empunhando um facão segurando o que parecia ser uma cabeça decepada: “Tivemos que assistir e dizer: 'Isso é um cadáver de verdade ou um cadáver falso? '”

No final de 2020, os moderadores foram informados de uma nova fila por suposta “sextorção”. Foi definido em um memorando explicativo como “uma forma de exploração sexual em que as pessoas são chantageadas com uma imagem nua de si mesmas que foi compartilhada por elas ou por outra pessoa na Internet”.

O memorando dizia que os trabalhadores revisariam as mensagens relatadas pelos usuários que “incluem palavras-chave predefinidas normalmente usadas em mensagens de sextortion/chantagem”.

O sistema de revisão do WhatsApp é prejudicado por impedimentos, incluindo erros de tradução de idiomas. O serviço possui usuários em 180 países, sendo a grande maioria localizada fora dos EUA.

Embora a Accenture contrate funcionários que falam vários idiomas, para mensagens em alguns idiomas, muitas vezes não há um falante nativo no local para avaliar as reclamações de abuso.

Isso significa usar a ferramenta de tradução de idiomas do Facebook, que, segundo os analistas, pode ser tão imprecisa que às vezes rotula as mensagens em árabe como sendo em espanhol. A ferramenta também oferecia pouca orientação sobre gírias locais, contexto político ou insinuações sexuais.

“Nos três anos em que estive lá”, disse um moderador, “sempre foi horrível”.

O processo pode estar repleto de erros e mal-entendidos. As empresas foram sinalizadas por oferecer armas para venda quando estão vendendo lâminas de barbear.

Os sutiãs podem ser vendidos, mas se a linguagem de marketing for registrada como “adulto”, o vendedor pode ser rotulado como um “negócio sexualmente orientado” proibido.

E uma ferramenta de tradução defeituosa disparou um alarme quando detectou cabritos para venda e abate, que, após um exame mais minucioso, acabou envolvendo cabritos jovens destinados a serem cozidos e consumidos em refeições halal.

O sistema também é prejudicado pelas falhas humanas das pessoas que instigam relatórios. As queixas são frequentemente apresentadas para punir, assediar ou pregar peças em alguém, de acordo com os moderadores.

Em mensagens do Brasil e do México, um moderador explicou: “tivemos alguns meses em que a IA estava banindo grupos a torto e a direito porque as pessoas estavam mexendo com seus amigos mudando os nomes de seus grupos” e depois denunciando-os.

“Na pior das hipóteses, provavelmente estávamos recebendo dezenas de milhares deles. Eles descobriram algumas palavras que o algoritmo não gostou.”

Outros relatórios não atendem aos padrões do WhatsApp para banimento de conta. “A maior parte não é violação”, disse um dos moderadores. “É um conteúdo que já está na internet, e são apenas pessoas tentando mexer com os usuários.”

Ainda assim, cada caso pode revelar até cinco mensagens não criptografadas, que são examinadas pelos moderadores.

O julgamento da IA ​​do WhatsApp não é perfeito, dizem os moderadores. “Havia muitas fotos inocentes lá que não tinham permissão para estar lá”, disse Carlos Sauceda, que deixou a Accenture no ano passado depois de nove meses.

“Pode ter sido uma foto de uma criança tomando banho, e não havia nada de errado com isso.” Como disse outro moderador do WhatsApp, “na maior parte do tempo, a inteligência artificial não é tão inteligente”.

A orientação por escrito do Facebook para moderadores do WhatsApp reconhece muitos problemas, observando “cometemos erros e nossas políticas foram armadas por maus atores para banir bons atores.

Quando os usuários escrevem perguntas relacionadas a questões abusivas como essas, cabe ao WhatsApp responder e agir (se necessário) de maneira oportuna e agradável.”

Claro, se um usuário apelar de um banimento que foi solicitado por um relatório do usuário, de acordo com um moderador, isso requer que um segundo moderador examine o conteúdo do usuário.

II. “Líderes do setor” na detecção de mau comportamento

Em declarações públicas e nos sites da empresa, o Facebook Inc. é visivelmente vago sobre o processo de monitoramento do WhatsApp. A empresa não fornece uma contabilidade regular de como o WhatsApp policia a plataforma.

A página de perguntas frequentes do WhatsApp e o formulário de reclamação on-line observam que ele receberá “as mensagens mais recentes” de um usuário que foi sinalizado.

Eles não divulgam, no entanto, quantas mensagens não criptografadas são reveladas quando um relatório é arquivado, ou que essas mensagens são examinadas por contratados externos. (O WhatsApp disse ao ProPublica que limita essa divulgação para impedir que os infratores “manipulem” o sistema.)

Por outro lado, tanto o Facebook quanto o Instagram publicam longos documentos de “Padrões da comunidade” detalhando os critérios que seus moderadores usam para policiar o conteúdo, junto com artigos e vídeos sobre “os heróis não reconhecidos que mantêm o Facebook seguro” e anúncios em novos sites de revisão de conteúdo.

Os relatórios de transparência do Facebook detalham quantos conteúdos são “acionados” para cada tipo de violação. O WhatsApp não está incluído neste relatório.

Ao lidar com os legisladores, os funcionários do Facebook Inc. também oferecem poucos detalhes - mas estão ansiosos para assegurar-lhes que não permitem que a criptografia atrapalhe a proteção dos usuários contra imagens de abuso e exploração sexual infantil.

Por exemplo, quando membros do Comitê Judiciário do Senado questionaram o Facebook sobre o impacto da criptografia de suas plataformas, a empresa, em perguntas de acompanhamento por escrito em janeiro de 2020, citou o WhatsApp ao se gabar de que continuaria respondendo à aplicação da lei.

“Mesmo dentro de um sistema criptografado”, observou uma resposta, “ainda seremos capazes de responder a solicitações legais de metadados, incluindo localização potencialmente crítica ou informações de conta… Já temos um serviço de mensagens criptografadas, WhatsApp, que – em contraste com alguns outros serviços criptografados — fornece uma maneira simples para as pessoas relatarem abusos ou problemas de segurança.”

Com certeza, o WhatsApp relatou 400.000 casos de possíveis imagens de exploração infantil ao Centro Nacional para Crianças Desaparecidas e Exploradas em 2020, de acordo com seu chefe, Cathcart.

Isso foi dez vezes mais do que em 2019. “Somos de longe os líderes do setor em encontrar e detectar esse comportamento em um serviço criptografado de ponta a ponta”, disse ele.

Durante sua entrevista no YouTube com o think tank australiano, Cathcart também descreveu a dependência do WhatsApp de relatórios de usuários e a capacidade de seus sistemas de IA de examinar informações de contas que não estão sujeitas a criptografia.

Questionado sobre quantos funcionários o WhatsApp empregou para investigar reclamações de abuso de um aplicativo com mais de dois bilhões de usuários, Cathcart não mencionou moderadores de conteúdo ou seu acesso a conteúdo criptografado.

“Há muitas pessoas no Facebook que ajudam com o WhatsApp”, explicou. “Se você olhar para as pessoas que trabalham em tempo integral no WhatsApp, são mais de mil. Não vou entrar em detalhes sobre atendimento ao cliente, relatórios de usuários, engenharia, etc. Mas é muito disso.”

Em respostas escritas para este artigo, o porta-voz da empresa disse: “Construímos o WhatsApp de maneira a limitar os dados que coletamos, ao mesmo tempo em que fornecemos ferramentas para prevenir spam, investigar ameaças e banir pessoas envolvidas em abusos, inclusive com base em relatórios de usuários que recebemos. . Este trabalho exige um esforço extraordinário de especialistas em segurança e de uma valiosa equipe de confiança e segurança que trabalha incansavelmente para ajudar a fornecer comunicação privada ao mundo”.

O porta-voz observou que o WhatsApp lançou novos recursos de privacidade, incluindo “mais controles sobre como as mensagens das pessoas podem desaparecer” ou ser visualizadas apenas uma vez.

Ele acrescentou: “Com base no feedback que recebemos dos usuários, estamos confiantes de que as pessoas entendem que, quando fazem denúncias ao WhatsApp, recebemos o conteúdo que nos enviam”.

III. “Enganar usuários” sobre privacidade pessoal

Desde o momento em que o Facebook anunciou planos de comprar o WhatsApp em 2014, os observadores se perguntaram como o serviço, conhecido por seu fervoroso compromisso com a privacidade, se sairia dentro de uma corporação conhecida pelo contrário.

Zuckerberg havia se tornado uma das pessoas mais ricas do planeta usando uma abordagem de “capitalismo de vigilância”: coletando e explorando resmas de dados de usuários para vender anúncios digitais direcionados.

A busca incansável do Facebook por crescimento e lucros gerou uma série de escândalos de privacidade nos quais foi acusado de enganar clientes e reguladores.

Por outro lado, o WhatsApp sabia pouco sobre seus usuários além de seus números de telefone e não compartilhava nenhuma dessas informações com terceiros. O WhatsApp não exibia anúncios, e seus cofundadores, Jan Koum e Brian Acton, ambos ex-engenheiros do Yahoo, eram hostis a eles.

“Em todas as empresas que vendem anúncios” , escreveram eles em 2012, “uma parte significativa de sua equipe de engenharia passa o dia ajustando a mineração de dados, escrevendo um código melhor para coletar todos os seus dados pessoais, atualizando os servidores que armazenam todos os dados e garantindo tudo está sendo registrado, agrupado, fatiado, embalado e enviado”, acrescentando: “Lembre-se, quando a publicidade está envolvida, você, o usuário, é o produto”.

No WhatsApp, eles observaram, “seus dados nem estão na foto. Nós simplesmente não estamos interessados ​​em nada disso.”

Zuckerberg prometeu publicamente em um discurso de abertura em 2014 que manteria o WhatsApp “exatamente o mesmo”.

Ele declarou: “Não vamos mudar absolutamente os planos sobre o WhatsApp e a maneira como ele usa os dados do usuário. O WhatsApp vai operar de forma totalmente autônoma.”

Em abril de 2016, o WhatsApp concluiu a adoção há muito planejada da criptografia de ponta a ponta, que ajudou a estabelecer o aplicativo como uma plataforma de comunicação valiosa em 180 países, incluindo muitos onde mensagens de texto e chamadas telefônicas têm custos proibitivos.

Dissidentes internacionais, denunciantes e jornalistas também recorreram ao WhatsApp para escapar da espionagem do governo.

Quatro meses depois, no entanto, o WhatsApp divulgou que começaria a compartilhar dados de usuários com o Facebook – exatamente o que Zuckerberg havia dito que não aconteceria – um movimento que abriu caminho para uma série de planos futuros de geração de receita.

Os novos termos de serviço do WhatsApp dizem que o aplicativo compartilhará informações como números de telefone dos usuários, fotos de perfil, mensagens de status e endereços IP para fins de segmentação de anúncios, combate a spam e abuso e coleta de métricas.

“Ao conectar seu número de telefone aos sistemas do Facebook”, explicou o WhatsApp, “o Facebook pode oferecer melhores sugestões de amigos e mostrar anúncios mais relevantes se você tiver uma conta com eles”.

Essas ações estavam cada vez mais colocando o Facebook na mira dos reguladores. Em maio de 2017, os reguladores antitruste da União Europeia multaram a empresa em 110 milhões de euros (cerca de US$ 122 milhões) por alegar falsamente, três anos antes, que seria impossível vincular as informações do usuário entre o WhatsApp e a família de aplicativos do Facebook.

A UE concluiu que o Facebook havia “intencionalmente ou negligentemente” enganado os reguladores. O Facebook insistiu que suas declarações falsas em 2014 não foram intencionais, mas não contestou a multa.

Na primavera de 2018, os cofundadores do WhatsApp, agora ambos bilionários, se foram.

Acton, no que mais tarde descreveu como um ato de “penitência” pelo “crime” de vender o WhatsApp para o Facebook, doou US$ 50 milhões para uma fundação que apoia o Signal, um aplicativo gratuito de mensagens criptografadas que emergiria como um rival do WhatsApp. (O fundo assessorado por doadores de Acton também deu dinheiro ao ProPublica.)

Enquanto isso, o Facebook estava sendo criticado por suas falhas de segurança e privacidade como nunca antes. A pressão culminou em uma multa histórica de US$ 5 bilhões pela Federal Trade Commission em julho de 2019 por violar um acordo anterior para proteger a privacidade do usuário.

A multa foi quase 20 vezes maior do que qualquer penalidade anterior relacionada à privacidade, de acordo com a FTC, e as transgressões do Facebook incluíam “enganar os usuários sobre sua capacidade de controlar a privacidade de suas informações pessoais”.

A FTC anunciou que estava ordenando que o Facebook tomasse medidas para proteger a privacidade daqui para frente, inclusive para os usuários do WhatsApp: “Como parte do programa de privacidade obrigatório do Facebook, que abrange o WhatsApp e o Instagram, o Facebook deve realizar uma revisão de privacidade de todos os novos ou modificados produto, serviço ou prática antes de sua implementação e documentar suas decisões sobre a privacidade do usuário”.

Os responsáveis ​​pela conformidade seriam obrigados a gerar um “relatório trimestral de análise de privacidade” e compartilhá-lo com a empresa e, mediante solicitação, com a FTC.

O Facebook concordou com a multa e ordem da FTC. De fato, as negociações para esse acordo foram o pano de fundo, apenas quatro meses antes disso, para o anúncio de Zuckerberg de seu novo compromisso com a privacidade.

A essa altura, o WhatsApp havia começado a usar a Accenture e outros contratados externos para contratar centenas de revisores de conteúdo. Mas a empresa estava ansiosa para não pisar em sua mensagem de privacidade mais ampla - ou assustar sua base global de usuários.

Não disse nada publicamente sobre a contratação de empresas terceirizadas para revisar o conteúdo.

4. “Nós matamos pessoas com base em metadados”

Mesmo quando Zuckerberg estava divulgando o novo compromisso do Facebook Inc. com a privacidade em 2019, ele não mencionou que sua empresa aparentemente estava compartilhando mais metadados de seus usuários do WhatsApp do que nunca com a empresa controladora - e com as autoridades.

Para o ouvido leigo, o termo “metadados” pode soar abstrato, uma palavra que evoca a intersecção entre crítica literária e estatística.

Para usar uma antiga analogia pré-digital, os metadados são o equivalente ao que está escrito do lado de fora de um envelope – os nomes e endereços do remetente e do destinatário e o carimbo do correio refletindo onde e quando foi enviado – enquanto o “conteúdo” é o que está escrito na carta lacrada dentro do envelope.

O mesmo acontece com as mensagens do WhatsApp: o conteúdo é protegido, mas o envelope revela uma infinidade de detalhes reveladores (como observado: carimbos de data/hora, números de telefone e muito mais).

Aqueles nas áreas de informação e inteligência entendem o quão crucial essa informação pode ser. Afinal, eram metadados que a Agência de Segurança Nacional estava reunindo sobre milhões de americanos não suspeitos de um crime, provocando protestos globais quando foram expostos em 2013 pelo ex-contratado da NSA Edward Snowden.

“Os metadados dizem absolutamente tudo sobre a vida de alguém”, disse certa vez o ex-conselheiro geral da NSA, Stewart Baker. “Se você tem metadados suficientes, não precisa realmente de conteúdo.”

Em um simpósio na Universidade Johns Hopkins em 2014, o general Michael Hayden, ex-diretor da CIA e da NSA, foi ainda mais longe : “Matamos pessoas com base em metadados”.

A polícia dos EUA usou metadados do WhatsApp para ajudar a colocar as pessoas na prisão. O ProPublica encontrou mais de uma dúzia de casos em que o Departamento de Justiça buscou ordens judiciais para os metadados da plataforma desde 2017.

Estes representam uma fração dos pedidos gerais, conhecidos como pedidos de registro de caneta (uma frase emprestada da tecnologia usada para rastrear números discados por telefones fixos), já que muitos outros são mantidos fora da vista do público por ordem judicial.

As solicitações do governo dos EUA por dados sobre mensagens enviadas e recebidas de todas as plataformas do Facebook aumentaram 276% do primeiro semestre de 2017 ao segundo semestre de 2020, de acordo com as estatísticas do Facebook Inc. (que não detalham os números por plataforma).

A taxa da empresa de entregar pelo menos alguns dados em resposta a tais solicitações aumentou de 84% para 95% durante esse período.

Não está claro exatamente o que os investigadores do governo conseguiram coletar do WhatsApp, já que os resultados dessas ordens também costumam ser mantidos fora do alcance do público. Internamente, o WhatsApp chama essas solicitações de informações sobre os usuários de “pares de mensagens em potencial” ou PMPs.

Eles fornecem dados sobre os padrões de mensagens de um usuário em resposta a solicitações de agências policiais dos EUA, bem como de pelo menos três outros países - Reino Unido, Brasil e Índia - de acordo com uma pessoa familiarizada com o assunto que compartilhou essas informações em condição de anonimato.

Solicitações de aplicação da lei de outros países podem receber apenas informações básicas do perfil do assinante.

Os metadados do WhatsApp foram fundamentais para a prisão e condenação de Natalie “May” Edwards, ex-funcionária do Departamento do Tesouro da Financial Crimes Enforcement Network, por vazar relatórios bancários confidenciais sobre transações suspeitas para o BuzzFeed News.

A denúncia criminal do FBI detalhou centenas de mensagens entre Edwards e um repórter do BuzzFeed usando um “aplicativo criptografado”, cujas entrevistas e registros judiciais confirmaram ser o WhatsApp.

“Em ou por volta de 1º de agosto de 2018, aproximadamente seis horas após a caneta Edwards entrar em operação – e um dia após a publicação do artigo do Buzzfeed de julho de 2018 – o celular Edwards trocou aproximadamente 70 mensagens por meio do aplicativo criptografado com o celular Reporter-1 durante um intervalo de aproximadamente 20 minutos entre 12h33 e 00h54 ”, escreveu a agente especial do FBI Emily Eckstut em sua reclamação de outubro de 2018. Edwards e o repórter usaram o WhatsApp porque Edwards acreditava que a plataforma era segura, segundo uma pessoa familiarizada com o assunto.

Edwards foi condenado em 3 de junho a seis meses de prisão depois de se declarar culpado de uma acusação de conspiração e apresentado à prisão na semana passada . O advogado de Edwards se recusou a comentar, assim como representantes do FBI e do Departamento de Justiça.

Durante anos , o WhatsApp minimizou a quantidade de informações não criptografadas que compartilha com a aplicação da lei, limitando em grande parte as menções à prática a linguagem clichê enterrada em seus termos de serviço.

Ele não mantém rotineiramente registros permanentes de com quem os usuários estão se comunicando e com que frequência, mas os funcionários da empresa confirmaram que ativam esse rastreamento a seu próprio critério - mesmo para investigações internas de vazamento do Facebook - ou em resposta a solicitações de autoridades.

A empresa se recusou a dizer ao ProPublica com que frequência isso acontece.

A página de privacidade do WhatsApp garante aos usuários que eles tenham controle total sobre seus próprios metadados. Ele diz que os usuários podem “decidir se apenas contatos, todos ou ninguém podem ver sua foto de perfil” ou quando abriram suas atualizações de status pela última vez ou quando abriram o aplicativo pela última vez.

Independentemente das configurações escolhidas pelo usuário, o WhatsApp coleta e analisa todos esses dados – um fato não mencionado em nenhum lugar da página.

V. “Abrindo o Aperture para abranger os objetivos de negócios”

O conflito entre privacidade e segurança em plataformas criptografadas parece estar apenas se intensificando. Os defensores da lei e da segurança infantil instaram Zuckerberg a abandonar seu plano de criptografar todas as plataformas de mensagens do Facebook.

Em junho de 2020, três senadores republicanos introduziram a “Lei de acesso legal a dados criptografados”, que exigiria que as empresas de tecnologia ajudassem no fornecimento de acesso até mesmo a conteúdo criptografado em resposta a mandados de aplicação da lei.

De sua parte, o WhatsApp recentemente processou o governo indiano para bloquear sua exigência de que aplicativos criptografados forneçam “rastreabilidade” – um método para identificar o remetente de qualquer mensagem considerada relevante para a aplicação da lei. O WhatsApp lutou contra demandas semelhantes em outros países.

Outras plataformas criptografadas adotam uma abordagem muito diferente para monitorar seus usuários do que o WhatsApp. O Signal não emprega moderadores de conteúdo, coleta muito menos dados de usuários e grupos, não permite backups na nuvem e geralmente rejeita a noção de que deveria estar policiando as atividades do usuário.

Não envia relatórios de exploração infantil ao NCMEC.

A Apple divulgou seu compromisso com a privacidade como um ponto de venda. Seu sistema iMessage exibe um botão de “relatório” apenas para alertar a empresa sobre suspeita de spam, e a empresa fez apenas algumas centenas de relatórios anuais ao NCMEC, todos originados da verificação de e-mails enviados, que não são criptografados.

Mas a Apple recentemente adotou um novo rumo e pareceu tropeçar ao longo do caminho. Em meio à crescente pressão do Congresso, em agosto a empresa anunciou um novo sistema complexo para identificar imagens de exploração infantil nos backups do iCloud dos usuários.

A Apple insistiu que o novo sistema não representa uma ameaça ao conteúdo privado, mas os defensores da privacidade acusaram a empresa de criar um backdoor que potencialmente permite que governos autoritários exijam pesquisas de conteúdo mais amplas, o que pode resultar na segmentação de dissidentes, jornalistas ou outros críticos do estado.

Em 3 de setembro, a Apple anunciou que atrasaria a implementação do novo sistema.

Ainda assim, é o Facebook que parece enfrentar o ceticismo mais constante entre as principais plataformas de tecnologia. Ele está usando a criptografia para se promover como amigo da privacidade, embora diga pouco sobre as outras formas de coleta de dados, de acordo com Lloyd Richardson, diretor de TI do Centro Canadense de Proteção à Criança.

“Toda essa ideia de que eles estão fazendo isso para proteção pessoal das pessoas é completamente ridícula”, disse Richardson.

“Você está confiando em um aplicativo de propriedade e escrito pelo Facebook para fazer exatamente o que eles estão dizendo. Você confia nessa entidade para fazer isso?” (Em 2 de setembro, as autoridades irlandesas anunciaram que estão multando o WhatsApp em 225 milhões de euros, cerca de US$ 267 milhões, por não divulgar adequadamente como a empresa compartilha informações do usuário com outras plataformas do Facebook. O WhatsApp contesta a conclusão.)

A ênfase do Facebook em promover o WhatsApp como modelo de privacidade é evidente no documento de marketing de dezembro obtido pela ProPublica.

A apresentação “Brand Foundations” diz que foi o produto de uma equipe global de 21 membros em todo o Facebook, envolvendo meia dúzia de workshops, pesquisa quantitativa, “entrevistas com partes interessadas” e “tempestades de ideias intermináveis”.

Seu objetivo: oferecer “uma articulação emocional” dos benefícios do WhatsApp, “um kit de ferramentas inspirador que nos ajuda a contar nossa história” e um “propósito de marca para defender a profunda conexão humana que leva ao progresso”.

A plataforma de marketing identifica um sentimento de “proximidade” como o “território emocional próprio do WhatsApp”, dizendo que o aplicativo oferece “a coisa mais próxima de uma conversa pessoal”.

O WhatsApp deveria se apresentar como “corajoso”, de acordo com outro slide, porque está “assumindo uma postura pública forte e não motivada financeiramente em coisas que nos interessam”, como defender a criptografia e combater a desinformação.

Mas a apresentação fala também da necessidade de “abrir a abertura da marca para abranger os nossos futuros objetivos de negócio. Embora a privacidade continue sendo importante, devemos acomodar inovações futuras.”

O WhatsApp está agora no meio de uma grande campanha para ganhar dinheiro. Ele teve um começo difícil, em parte por causa de amplas suspeitas de como o WhatsApp equilibrará privacidade e lucros.

Um plano anunciado para começar a exibir anúncios dentro do aplicativo não ajudou; foi abandonado no final de 2019, poucos dias antes do lançamento.

No início de janeiro, o WhatsApp revelou uma mudança em sua política de privacidade – acompanhada de um prazo de um mês para aceitar a política ou ser cortado do aplicativo. A medida provocou uma revolta, levando dezenas de milhões de usuários a fugir para rivais como Signal e Telegram.

A mudança de política se concentrou em como as mensagens e os dados seriam tratados quando os usuários se comunicassem com uma empresa na variedade cada vez maior de ofertas do WhatsApp Business.

As empresas agora podem armazenar seus bate-papos com os usuários e usar informações sobre os usuários para fins de marketing, inclusive segmentá-los com anúncios no Facebook ou Instagram.

Elon Musk twittou “Use sinal” e os usuários do WhatsApp se rebelaram. O Facebook atrasou por três meses a exigência de que os usuários aprovem a atualização da política.

Nesse ínterim, lutou para convencer os usuários de que a mudança não afetaria as proteções de privacidade de suas comunicações pessoais , com uma versão ligeiramente modificada de sua garantia usual: “O WhatsApp não pode ver suas mensagens pessoais ou ouvir suas chamadas e nem o Facebook pode .”

Assim como quando a empresa comprou o WhatsApp anos antes, a mensagem era a mesma: confie em nós.

Correção

10 de setembro de 2021: Esta história originalmente afirmava incorretamente que o sistema iMessage da Apple não possui botão “relatar”. O sistema iMessage possui um botão de denúncia, mas apenas para suspeita de spam (não para suspeita de conteúdo abusivo).

Foto de Eyestetix Studio no Unsplash