Read, hack, repeat

São necessárias 191 páginas para listar tudo o que o Spotify coleta sobre você

Ramon de Souza

Há um certo consenso entre a comunidade de desenvolvedores: após o nascimento de regulamentos globais que visam devolver ao consumidor o controle sobre seus próprios dados no ambiente digital — como a europeia General Data Protection Regulation (GDPR) e a brasileira Lei Geral de Proteção de Dados (LGPD) —, a melhor forma de garantir que as coisas não saiam errado é coletar o mínimo de informações possível. Além de evitar problemas como o dark data, a minimização da coleta também garante facilidade na hora de responder às requisições feitas por internautas em garantir seus direitos previstos em lei.

Porém, existe um grande player na indústria tecnológica que parece estar indo em contramão à essa tendência global. Estamos falando do Spotify, famosa plataforma de streaming de música. A The Hack recebeu, de uma fonte anônima, um documento em PDF que lista todos os parâmetros e eventos que o aplicativo rastreia e armazena a respeito de seus usuários. Vale lembrar que o app está disponível para quase todas as plataformas existentes no mercado, incluindo computadores, dispositivos móveis e até smart TVs.

O arquivo, que possui nada menos do que 191 páginas, teria sido teoricamente recebido como uma resposta à um internauta europeu que realizou tal requisição sob os termos da GDPR. Examinando-o, é difícil não se espantar com a quantidade de dados desnecessários que o serviço coleta — mesmo que seus assinantes tenham consentido com tal prática ao se cadastrar na plataforma, é improvável que eles tenham real conhecimento sobre o quanto a marca conhece a respeito de seus hábitos de uso.

Tem de tudo e mais um pouco

Iniciemos com a parte técnica da coisa: ao longo das 191 páginas do relatório, é possível descobrir que o Spotify identifica, coleta e armazena informações a respeito de todos os aparelhos e periféricos utilizados na sua conta. Isso inclui modelo, marca, especificações de hardware (CPU, armazenamento interno, memória RAM, versão do sistema operacional etc.) em todo gadget em que o app é executado, tal como modelo, marca, versão do firmware e outras especificações diversas (incluindo versão do protocolo Bluetooth) caso você utilize, por exemplo, uma caixa de som sem fio ou um headset wireless.

Até mesmo dados sobre os drivers de áudio instalados no seu computador são coletados, tal como o tipo de conectividade utilizada para se comunicar com os servidores da companhia (3G, 4G, WiFi, WLAN).

Assusta também o rastreamento que a plataforma realiza a respeito dos hábitos e comportamentos dos seus usuários. É possível encontrar parâmetros que identificam, por exemplo, o número de vezes que você avança ou retrocede numa faixa; quaisquer interações com a interface (deslizar, tocar, clicar etc.), incluindo ações que foram canceladas ou falharam por um motivo qualquer (adição de uma canção em uma playlist, um compartilhamento nas redes sociais e assim por diante). O mesmo ocorre com as reações do internauta quando ele se depara com um anúncio.

É importante observar que vários parâmetros listados no documento fazem referência não apenas aos apps e cliente web do Spotify, mas também aos derivados Spotify Lite (versão mais leve e minimalista do software, disponível para aparelhos Android que possuam especificações modestas) e Spotify Kids (com conteúdo curado especialmente para o público infantil). Este último é especificamente preocupante, visto que a coleta de dados de apps voltados para crianças costuma ser um ponto sensível perante as legislações.

Como uma imagem — ou um arquivo — vale mais do que mil palavras, sinta-se à vontade para explorar o documento em questão por si mesmo.

Uma postura perigosa

Procurada pela The Hack, a assessoria de imprensa do Spotify confirmou a veracidade do documento e afirmou estar em compliance com a GDPR, limitando-se a agradecer seus usuários pela confiança em lhe dar controle sobre tantas informações. Confira o comunicado oficial da plataforma:

O arquivo que você nos enviou é legítimo e é fornecido aos usuários, mediante solicitação, para cumprir com o GDPR. Qualquer usuário do Spotify tanto no Brasil quanto em qualquer outro lugar do mundo, tem acesso ao documento no nosso Centro de Privacidade, uma página dedicada as configurações, incluindo, a função "Baixar meus dados", entre outros. Aqui você pode ter mais informações sobre esse processo.

A privacidade e a segurança dos dados pessoais de nossos usuários são extremamente importantes para o Spotify. Estamos comprometidos em ganhar e manter a confiança que nossos usuários depositaram na plataforma e  em dar a eles controle sobre os dados pessoais que eles compartilham conosco.

No link fornecido pelo app, porém, o serviço afirma que “precisa processar certos dados pessoais para poder oferecer seu serviço de música”, e, se o usuário quiser excluir esses dados pessoais, será necessário encerrar a sua conta. Tal posição não dá muita margem de escolha ao internauta: ou ele concorda com tal coleta ou fica sem usar a plataforma.

(Reprodução: Tudo Celular)

Para Renoir dos Reis, gerente de produto do Eskive e especialista em DevSecOps, a minimização da captura de dados deve se tornar um assunto recorrente em qualquer equipe de desenvolvimento. Em entrevista à The Hack, o especialista alertou que não seguir essa tendência pode ser prejudicial para a imagem do produto em uma época em que preocupações com a privacidade são uma discussão constante.

“Lançar qualquer tipo de conteúdo ou solução que capture dados de usuários (sejam clientes ou não) em 2020 sem a efetiva necessidade e clara explicação não é só mais apenas um risco de compliance, e sim um enorme risco competitivo, financeiro e jurídico. Um exemplo muito claro de entendimento destes riscos é a forma como a Apple vem se posicionando em relação a privacidade, que se tornou um dos diferenciais mais valiosos que uma empresa pode oferecer aos consumidores de agora em diante”, explica.


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.