Quando o ativista austríaco pró-privacidade Max Schrems solicitou seus próprios dados pessoais armazenados pelos servidores do Facebook, recebeu um CD-ROM com um documento de 1.222 páginas.
Esse arquivo, cujas páginas impressas teriam quase 400 metros de comprimento se fossem colocadas lado a lado, é uma amostra do apetite da rede social por detalhes particulares dos seus 1,65 bilhão de usuários.
A informação repassada ao ativista incluía números de telefones e endereços de e-mail de amigos e familiares; o histórico de todos os dispositivos que ele usou para acessar o Facebook; todos os eventos a que ele tinha sido convidado; todo mundo que ele tinha adicionado como amigo (e posteriormente desfeito a amizade); e um arquivo com suas mensagens privadas.
Havia ainda transcrições de mensagens que ele tinha apagado.
Schrems, que diz ter usado o Facebook ocasionalmente durante um período de três anos, acredita que parte considerável de suas informações pessoais ficaram retidas.
O austríaco Max Schrems move duas ações contra o Facebook questionando a política de privacidade da empresa em relação aos dados dos usuários
O ativista recebeu registros de dados divididos em cerca de 50 categorias, mas acredita que existam mais de 100 diferentes.
"Eles retiveram meus dados de reconhecimento facial, que é uma tecnologia que pode me identificar pelas minhas fotos. Eles não divulgam as informações de monitoramento, que é uma tecnologia ainda mais assustadora porque permite identificar se você já leu, por exemplo, uma página sobre carro esportivo e quanto tempo você demorou para ler".
Em sua página de política de dados, a rede social afirma que armazena dados "pelo tempo necessário para fornecer produtos e serviços" aos usuários e os usa para melhorar seus fornecimento de conteúdo, seus anúncios publicitários e suas medidas de segurança.
O Facebook também é capaz de monitorar o uso da internet de pessoas que não fazem parte da rede social por meio dos cookies (arquivos de internet que armazenam temporariamente o que o internauta está visitando na rede) instalados nas máquinas, algo que levou a uma recente disputa judicial na Bélgica.
Inicialmente, a Justiça belga havia determinado que a coleta de dados de usuários que não eram membros do Facebook era uma violação das leis do país, mas o Facebook entrou com recurso - e ganhou, em junho passado - ao argumentar que havia usado os cookies para garantir a segurança do serviço, agregando que descartava os dados após dez dias.
Além disso, a Justiça belga acatou o argumento de que as autoridades regulatórias do país não tinham jurisdição sobre o Facebook, cuja sede europeia fica na Irlanda.
O Facebook consegue acompanhar o uso da internet até mesmo de pessoas que não são membros da rede social
A briga judicial e a experiência de Schrems ilustram os desafios que enfrentamos em uma era digital na qual dados de usuários de aplicativos de mensagens instantâneas, redes sociais, programas de busca sob medida, usuários e-mail e de aplicativos bancários têm seus dados pessoais coletados e armazenados num espaço virtual, a chamada "nuvem".
Mas onde estão exatamente todos esses dados, como são usados, e quão seguros estão?
O grande quarteto
Mais da metade dos armazenamentos em nuvem rentável do mundo é controlado por quatro grandes corporações. A Amazon é de longe a maior delas, com cerca de um terço da quota de mercado internacional e mais de 35 centros de dados em todo o mundo.
Em seguida, Microsoft, IBM e Google aparecem na lista das empresas que mais armazenam dados. Cada uma delas adota um padrão global semelhante de servidores e armazenamento.
O professor Dan Svantesson afirma que armazenar dados em lugares diferentes pode gerar problemas uma vez que estão submetidos a legislações distintas
Vários desses grandes provedores de nuvem normalmente duplicam os dados dos usuários em suas redes. Isso significa que informações enviadas para a nuvem no Reino Unido ou nos EUA, por exemplo, podem ser transferidas em algum momento para servidores nas principais cidades ao redor do mundo, como de Sydney para Xangai.
O problema de se fazer isso, diz o professor Dan Svantesson, especialista em Direito da Internet na Universidade de Bond, na Austrália, é que "há sempre um risco de que o país destino dos dados não tenha o mesmo nível de proteção que a sua própria nação".
"Se os seus dados vão parar em outro país, nem sempre está claro quem terá direito de acesso a eles, sejam provedores de rede ou quem aplica a lei", diz ele.
Benjamin Caudill, consultor de segurança cibernética em Seattle, nos EUA, também se preocupa com a forma com que dados são distribuídos.
Benjamin Caudill, consultor de segurança cibernética, acredita que a maioria dos provedores de espaço na nuvem nem sempre sabe exatamente onde todos os dados estão armazenados
"Ninguém realmente sabe bem como a salsicha é feita", diz Caudill, cujo trabalho prevê avaliar mecanismos de defesa das empresas de testes.
"É muito difícil compreender onde os dados estão armazenados. Muitas vezes, as próprias empresas não têm certeza de onde todos eles estão", observa o consultor.
Ele diz que um cliente seu, que usava o serviço na nuvem Azure, da Microsoft, foi vítima de um hacker - todos os dados e back-ups foram eliminados.
O colorido centro de dados do Google em Taiwan não se limita a servidores de computador - é necessária uma grande quantidade de refrigeradores também
Depois de muita pesquisa, verificou-se que uma parte dos dados perdidos tinha sido armazenada nos servidores do Azure em outro lugar. Ao mesmo tempo que foi um alívio para o cliente de Caudill, gerou desconfiança a aparente forma aleatória com os dados haviam sido alocados em servidores da Microsoft.
"Ninguém realmente sabe quão seguro são os serviços em nuvem dos principais fornecedores", diz Caudill, que suspeita que "tanto Amazon como Azure tiveram a segurança comprometida em algum momento."
Falha de segurança?
Por sua vez, todos os grandes provedores de nuvem pública dizem priorizar a segurança dos dados.
Nas instalações do servidor do Google, na Carolina do Sul, por exemplo, guardas tomam conta das portas e são usados scanners biométricos de íris nas entradas no controle do acesso ao interior do centro de armazenamento de dados. Feixes de laser no chão identificam intrusos.
Mas ninguém é capaz de afirmar que nunca houve nenhum tipo de violação ou falha da segurança.
Centro de dados do Google na Finlândia, onde instalações também têm reforço de segurança
Um porta-voz da Microsoft disse à BBC que a empresa não apenas protege os dados de seus clientes como tem o compromisso de capacitar os usuários para ajudá-los a tomar decisões quanto a essas informações. "Recomendamos que os clientes visitem o Trust Center da Microsoft para saber mais sobre como seus dados são geridos e mantidos em segurança".
A Amazon salienta que os clientes "têm total controle de seu próprio conteúdo". "Escolhem onde armazenar seus dados, que não são movidos a não ser que o cliente decida movê-los."
Essa capacidade de escolher em qual a região os dados serão armazenados é cada vez mais popular entre empresas, em particular as da União Europeia, onde um novo e rigoroso Regulamento Geral de Proteção de Dados deverá entrar em vigor em 2018.
À própria sorte
Mas nós, consumidores, muitas vezes não desfrutamos desse luxo.
"Os dados da sua conta do Gmail com certeza estão em mais de um servidor e em mais de um país", diz o professor Svantesson.
E por que devemos nos preocupar?
Quanto mais espalhados pelo mundo, mais vulneráveis estão nossos dados à ação de hackers, argumenta Caudill - uma suposição que ganha força pelo aumento no número de casos de fraude de identidade.
Como as pessoas continuam armazenar suas informações on-line, em um complexo terreno de legislações distintas e de protocolos de segurança nacionais nem sempre públicos, Svantesson dá alguns conselhos práticos - que muitas pessoas ainda não seguem.
"Sugiro não colocar nada muito importante na nuvem, como informações de cartão de crédito, ou imagens pessoais que você não quer que outros vejam. Algumas coisas que você deve guardar apenas para si mesmo", aconselha.
BBC Brasil