Google foi punido com mais de US$ 40 milhões por configurações enganosas de rastreamento de localização

De acordo com uma decisão judicial de 2021, o Google deve pagar 60 milhões de dólares australianos (cerca de US$ 40 milhões ou mais) na Austrália para resolver alegações de que enganou clientes com configurações do Android por pelo menos cinco anos sobre o uso de seus dados de localização pela empresa.

Em outubro de 2019, a Australian Competition and Consumer Commission (ACCC) iniciou um processo contra o Google e sua subsidiária australiana, levando a gigante da tecnologia ao tribunal por fazer representações enganosas aos consumidores sobre a coleta e uso de dados pessoais de localização em telefones Android entre janeiro de 2017 e dezembro de 2018.

Em abril de 2021, um tribunal decidiu que o Google violou a Lei do Consumidor da Austrália ao induzir certos usuários do Android a acreditar que a opção “Histórico de localização” era a única configuração da conta do Google que afetava a coleta, retenção e utilização de dados de identificação pessoal sobre sua localização.

A Comissão Australiana de Concorrência e Consumidores (ACCC) afirmou em um comunicado à imprensa hoje que o Google também tem a capacidade de coletar os dados de localização de usuários do Android por meio de outra opção, apelidada de “Atividade na Web e de aplicativos”, que foi ativada por padrão. Como no design padrão em preto e branco. (Como explicaremos mais tarde, o Google usou muitos padrões escuros empilhados.)

De acordo com o watchdog, cerca de 1,3 milhão de contas do Google na Austrália podem ter visto uma tela que violou a Lei do Consumidor da Austrália.

De acordo com Gina Cass-Gottlieb, presidente da Comissão Australiana de Concorrência e Consumidores (ACCC), “esta penalidade significativa imposta pelo Tribunal hoje envia uma forte mensagem às plataformas digitais e outras empresas, grandes e pequenas, de que não devem enganar os consumidores sobre como seus dados estão sendo coletados e usados”.

De acordo com o relatório, “o Google, uma das maiores empresas do mundo, conseguiu manter os dados de localização coletados por meio da configuração ‘Atividade na Web e de aplicativos’ e esses dados retidos podem ser usados ​​pelo Google para direcionar anúncios a alguns consumidores, mesmo que esses consumidores tinham a configuração ‘Histórico de Localização’ desativada.”

“Dados de localização pessoal são sensíveis e significativos para certos clientes”, disse ela. “Se as representações enganosas do Google não tivessem sido feitas, alguns dos usuários que viram as representações podem ter tomado outras decisões em relação à coleta, armazenamento e uso de seus dados de localização.”

Em 20 de dezembro de 2018, o Google supostamente tomou medidas para corrigir o comportamento infrator, o que significa que os clientes australianos não foram mais apresentados às exibições enganosas.

O Google declarou seu desacordo com as descobertas e potencial recurso no momento do veredicto do tribunal no ano passado. No entanto, acabou optando por arcar com as consequências.

A ACCC observa que a maioria das condutas sancionadas ocorreu antes de setembro de 2018, antes que a penalidade máxima por violações da Lei do Consumidor fosse substancialmente aumentada, de US$ 1,1 milhão por violação para – desde então – a maior de US$ 10 milhões, 3x o valor de qualquer benefício obtido, ou, se o valor não puder ser determinado, 10% do faturamento.

O tribunal também instruiu o Google a contribuir para as despesas da ACCC e garantir que suas políticas incluam um compromisso com a conformidade e requisitos que ensinem trabalhadores específicos sobre a Lei do Consumidor do país.

Para obter a opinião do Google sobre a multa, eles foram abordados. Este comentário foi fornecido a nós por um porta-voz corporativo:

“Podemos confirmar que concordamos em resolver a questão relativa à conduta histórica de 2017-2018. Investimos pesadamente em tornar as informações de localização simples de gerenciar e fáceis de entender com ferramentas pioneiras no setor, como controles de exclusão automática, enquanto minimizamos significativamente a quantidade de dados armazenados. Como demonstramos, estamos comprometidos em fazer atualizações contínuas que dão aos usuários controle e transparência, ao mesmo tempo em que fornecemos os produtos mais úteis possíveis.”

Padrões de sombras dentro de sombras

Capturas de tela de três versões diferentes da tela de configuração da Web e Atividade do Google fornecidas aos clientes que configuram uma conta do Google no dispositivo sem qualquer menção à frase “local” podem ser vistas no comunicado à imprensa emitido pela ACCC, que o tribunal decidiu ser enganoso para os usuários do Android.

Em vez disso, entre 30 de abril e 19 de dezembro de 2018, lia-se: “Isso salva suas pesquisas, histórico de navegação do Chrome e atividades de sites e aplicativos que usam os serviços do Google”, com a ressalva de que isso “oferece melhores resultados de pesquisa, sugestões , e personalização nos serviços do Google.” No entanto, não fica claro em nenhum lugar que, ao usar o aplicativo, o usuário consente em ter sua localização monitorada.

Os usuários do Android que tentaram desativar o rastreamento de localização por meio da opção “Histórico de localização” foram recebidos com um pop-up enganoso perguntando se eles realmente queriam “Pausar o histórico de localização?” e alertou-os de que isso poderia “restringir o funcionamento de determinados produtos do Google ao longo do tempo”.

Não está claro por que isso foi incluído, já que a opção não forneceu aos usuários controle suficiente para impedir completamente o Google de rastrear seu paradeiro.

No final da mensagem, o Google aconselha o usuário a “ver e gerenciar essas informações no mapa do Histórico de localização” e adiciona a declaração desconcertante de que “observe, interromper essa configuração não remove nenhuma atividade anterior”. Presumivelmente, isso foi feito de propósito para desviar sua atenção da configuração Web & Activity, onde o Google havia enterrado mais uma opção de rastreamento de localização.

Por exemplo, uma versão da configuração Web & Activity que o tribunal considerou enganar os usuários do Android entre o início de 2017 e o final de 2018 inclui um total de cinco ações possíveis que um usuário pode realizar, um excesso de escolha obviamente destinado a enganá-los e deixar o ‘on’ configuração como está, uma vez que é tão radicalmente obscuro o que qualquer outra coisa na tela significa.

“Algumas informações podem ser armazenadas em sua conta padrão se você utilizar várias contas simultaneamente. Uma seção notável das letras miúdas do Google diz: “Saiba mais em support.google.com”, sem realmente anexar o URL para levar o usuário à página onde ele pode “saber mais” (ou, bem, logo descobrirá que não há muito para aprender e definitivamente nenhuma opção “desligada” lá).

Dado que a definição da função da configuração Web & Activity está oculta sob esse bloco de texto fino, parece que seu objetivo principal é desencorajar os clientes de lê-lo (e acima de uma caixa de seleção mais atraente). A esse respeito, porém, o Google não é totalmente transparente: novamente, o termo “localização” não está em lugar algum; uma menção a “Mapas” está oculta em uma lista com marcadores que prioriza “pesquisas mais rápidas” e “experiências personalizadas” em um esforço para fazer com que os usuários concordem.

O Google parece estar insinuando que os usuários do Android precisam ter essa opção ativada para utilizar o famoso produto Google Maps como um substituto para a localização, em vez de deixar claro que a configuração se refere à sua capacidade de monitorar o paradeiro dos usuários.

Outra caixa de seleção pré-marcada aparece ao lado de algum texto adicional na mesma página de configurações, que diz: “Incluir histórico do navegador Chrome e atividade de sites e aplicativos que utilizam os serviços do Google”. Parece que o Google está desagregando as opções de rastreamento, talvez como um substituto caso uma dessas configurações pré-verificadas seja desmarcada e ainda precise coletar dados.

Depois disso, há letras minúsculas adicionais, alojadas sob o título brando “dados deste dispositivo”, que diz: “Relatórios de controle da atividade do aplicativo deste dispositivo”. Um observador casual acreditaria que esse texto não está se referindo a uma opção, pois não está imediatamente conectado visualmente a qualquer configuração com a qual o usuário possa interagir.

A opção “GERENCIAR ATIVIDADE” é um link clicável na parte inferior da tela. O texto neste caso é mais pronunciado, pois está escrito em MAIÚSCULAS. Na mesma medida, atrair a atenção sim. No entanto, o que diabos é isso? Se o usuário quiser desabilitar o rastreamento, por que ele deveria ser forçado a navegar no inferno do novo submenu do Google para fazê-lo, como essa escolha implica? Certamente tudo o que eles precisam fazer é apertar o botão “on” na parte superior da página de configurações.

Naturalmente, tudo em camadas nesse padrão sinistro é projetado para desencorajar o usuário de tentar descobrir o que está acontecendo com seus dados e aumentar a probabilidade de que eles desistam e mantenham as configurações de rastreamento padrão intactas. Uma obra-prima de astúcia e manipulação.

Precisa de uma grande atualização?

O Google pode receber uma multa mais pesada se for descoberto que violou o Regulamento Geral de Proteção de Dados da União Europeia (já que as penalidades podem chegar a 4% do faturamento anual global), apesar de sua declaração hoje sobre a sanção da ACCC sugerindo que todas as localizações enganosas rastreamento de coisas está no passado. A investigação da UE sobre as mesmas práticas está aberta desde fevereiro de 2020.

Em novembro de 2018, os órgãos de vigilância do consumidor da UE apresentaram preocupações ao Google sobre o rastreamento de localização enganoso da empresa. Portanto, o Google pode dizer que “seguiu em frente” independentemente do veredicto.

Embora o DPA responsável pelo inquérito na Irlanda esteja programado para divulgar um projeto de julgamento este ano, a decisão final não pode ser tomada até 2023 se a rede DPA no bloco tiver que avaliá-lo e concordar com qualquer aplicação.

Além disso, no início deste verão, grupos europeus de direitos do consumidor apresentaram uma nova série de queixas contra o Google, acusando a gigante da publicidade de design enganoso em torno do processo de criação de contas que, de acordo com os grupos, leva os usuários a concordarem com o processamento extenso e invasivo de suas contas. dados.

As reclamações mostram quantos “cliques” a mais os consumidores devem fazer para impedir que o Google os siga, em vez de apenas dar ao Google acesso aos seus dados. mais ça troco, certo?

Dada a lentidão com que as leis de privacidade são aplicadas na Europa, pode levar anos até que quaisquer ordens de reparação sejam emitidas, deixando os clientes vulneráveis ​​nesse meio tempo.

Mas mudanças mais árduas estão por vir: os legisladores da União Europeia acabaram de decidir proibir a construção de plataformas online e a implantação de interfaces enganosas/manipulativas e/ou enganosas em uma grande atualização programada para as regras digitais do bloco.

O objetivo geral da DSA é direcionar a governança de uma maneira que aumente a responsabilidade e a prestação de contas pelos serviços digitais.

Quando se trata de padrões obscuros, muito dependerá das letras miúdas do DSA e de como ele é interpretado, e ainda pode haver potencial para plataformas dominantes descobrirem brechas e adotarem técnicas predatórias para privar os consumidores de seus direitos e agência. No entanto, a principal característica da lei é que ela obriga a Comissão Europeia a desempenhar um papel ativo na aplicação (contra plataformas maiores, os chamados VLOPs).

Como parte disso, o poder executivo da UE terá autoridade para fornecer recomendações para coisas como design de interface. Algumas das legislações da UE focadas no consumidor podem, de repente, se tornar muito mais difíceis de ignorar, pois adquirem o direito de aplicar pesadas penalidades aos VLOPs se desobedecerem aos termos do DSA. (A partir do início do próximo ano civil, o DSA entrará em vigor.)

O valor máximo que pode ser multado por descumprimento do DSA é de 6% da receita bruta anual da empresa. Portanto, roubar informações pessoais vem com um potencial cada vez maior de consequências desastrosas. Resta saber se isso será suficiente para fazer com que os titãs da indústria de monitoramento parem para pensar ou, mais importante, se induzirá mudanças substanciais nas estruturas de negócios hostis à privacidade.