Helena Bento, in Expresso
Garantindo que foram violados “direitos fundamentais das consumidoras portuguesas”, a Ius Omnibus, uma associação de defesa dos direitos dos consumidores, avançou recentemente com uma ação popular contra a empresa norte-americana Flo Health, detentora de uma aplicação que permite rastrear o ciclo menstrual e o período fértil, e identificar sintomas pré-menstruais.
Em causa, estará a partilha "deliberada e sistemática" de informação "pessoal extremamente sensível" das utilizadoras portuguesas da aplicação - relacionada, nomeadamente, com a sua menstruação, atividade sexual e gravidez - com empresas como o Facebook e a Google, sem ter sido obtido o devido consentimento e depois de a Flo Health ter garantido que dados como estes não seriam partilhados com terceiros para fins comerciais e publicitários.
Terá sido o próprio Facebook, aliás, a fornecer à Flo Health uma ferramenta de software que assegurava o acesso "instantâneo" por parte da rede social a todos os dados inseridos pelas utilizadoras e permitia rastrear continuamente estas pessoas na Internet, percebendo, por exemplo, a que sites e aplicações acediam, mesmo que não tendo elas uma conta no Facebook. A ação foi entregue no final de abril no Tribunal Judicial da Comarca de Lisboa.
“Estamos a falar de uma invasão da privacidade que vai além do âmbito da própria aplicação. A presença online de cada utilizadora era totalmente controlada”, diz Daniela Antão, secretária-geral da associação, para quem a garantia dada pela empresa de que protegeria e não partilharia informação íntima torna a situação “ainda mais grave”. “Não se tratou de aproveitar a distração de uma utilizadora. A própria empresa declarava na sua política de privacidade, que pedia aos utilizadores para aceitar, que não cedia dados a terceiros.” Segundo as estimativas da associação, foram partilhados dados de pelo menos 41 mil utilizadoras em Portugal.
Questionada pelo Expresso sobre este assunto, a Flo Health referiu que não comenta “litígios pendentes”, mas garantiu que a sua "principal prioridade é proteger os dados dos utilizadores". “Mantemos o compromisso de garantir a máxima privacidade e cuidado em relação aos dados de saúde.”
INVESTIGAÇÃO DO "WALL STREET JOURNAL" REVELOU FALHAS DA APLICAÇÃO
Em países como os EUA, Canadá e Israel também foram apresentadas ações populares contra a empresa, sendo a da Ius Omnibus a mais recente. Em todas se alega que a recolha da informação terá ocorrido entre 30 de junho de 2016 - cerca de um ano depois de a aplicação ter sido criada - e 23 fevereiro de 2019, um dia depois de o jornal norte-americano “Wall Street Journal” ter publicado um artigo sobre a partilha de informação sensível com o Facebook e outra empresas por parte de dezenas de aplicações, incluindo a da Flo Health (“O meu calendário menstrual Flo” ou, em inglês, “Flo Ovulation and Period Tracker”).
O jornal testou mais de 70 aplicações para o sistema operativo iOS, disponíveis na Apple App Store em categorias que implicam o tratamento de informação sensível. Foi usado um software específico para monitorizar as comunicações desencadeadas pela utilização de cada aplicação, incluindo a informação enviada ao Facebook e a outras empresas.
Os testes revelaram que pelo menos 11 aplicações partilharam informação “potencialmente sensível” sobre o comportamento online dos respetivos utilizadores e os dados por estes inseridos nestas plataformas com a empresa de Mark Zuckerberg. A aplicação desenvolvida pela Flo Health foi uma delas, tendo informado o Facebook sobre o início e o final de cada período menstrual das utilizadoras ou sobre a intenção destas de engravidar, refere o artigo (“You Give Apps Sensitive Personal Information. Then They Tell Facebook”).
A empresa começou por negar ao jornal o envio de informação sensível de utilizadores ao Facebook, garantindo que apenas partilhava “dados despersonalizados”, precisamente para mantê-los “privados e seguros”. Mas uma porta-voz garantiu depois que a Flo Health iria “limitar substancialmente” a utilização de sistemas analíticos externos nas auditorias de privacidade realizadas pela empresa.
EMPRESA ASSINA ACORDO COM AUTORIDADES NORTE-AMERICANAS
Em janeiro de 2021, a Comissão Federal de Comércio dos EUA (FCT, na sigla em inglês) anunciou ter apresentado uma reclamação contra a Flo Health, alegando que os dados de milhões de utilizadores foram partilhados com terceiros que forneciam à própria aplicação serviços de análises de dados, marketing e publicidade direcionada, entre os quais o Facebook, a Google, a AppsFlyer e a Flurry.
“Estamos a falar de uma invasão da privacidade que vai além do âmbito da própria aplicação. A presença online de cada utilizadora era totalmente controlada. Não se tratou de aproveitar a distração de uma pessoa. A própria empresa declarava na sua política de privacidade, que pedia aos utilizadores para aceitar, que não cedia dados a terceiros.”
Foi proposto um acordo à empresa norte-americana de que constavam uma série de obrigações - desde logo, avisar todos os utilizadores cujos dados foram divulgados sobre essa partilha e instar as empresas que receberam os dados a destruí-los. A Flo Health estaria obrigada, dali para a frente, a informar os utilizadores sobre os dados de saúde que poderiam vir a ser partilhados com terceiros, os objetivos dessa divulgação e de que forma a informação seria usada, sendo necessário obter, para isso, o seu “consentimento expresso”.
O acordo também proibia que fossem deturpadas informações relacionados com a recolha, utilização e divulgação de dados e o controlo que cada utilizador tem efetivamente sobre a forma como estes dados são utilizados, entre outros aspetos. A empresa norte-americana aceitou o acordo, mas não admitiu ter cometido quaisquer irregularidades.
IUS OMNIBUS DEFENDE QUE UTILIZADORAS SEJAM INDEMNIZADAS
A assinatura do documento não chegou, contudo, para encerrar o assunto. Nos últimos meses, têm sido apresentadas ações populares contra a empresa nos EUA, Canadá e Israel, que se encontram pendentes nos tribunais desses países. A ação da Ius Omnibus é a mais recente.
A associação portuguesa considera que a Flo Health violou “direitos fundamentais das consumidoras portuguesas” - como o direito à reserva e intimidade da vida privada -, tendo ainda “violado o Código Civil, a Lei das Práticas Comerciais Desleais e o Regulamento Geral sobre a Proteção de Dados.
No processo que deu entrada no Tribunal Judicial da Comarca de Lisboa, a associação pede que seja declarado que, entre 30 de junho de 2016 e 23 de fevereiro de 2019, a Flo Health “violou os interesses protegidos pelas normas acima identificadas e, em consequência, causou danos às consumidoras representadas na ação”. Também pede que a empresa “seja condenada a indemnizar as consumidoras representadas pelos danos que lhes foram causados”.
Daniela Antão explica que, no caso dos danos patrimoniais, o valor da indemnização será apurado com base nas receitas – a apurar e provar no âmbito da ação – que a Flo Health obteve à custa dos dados das consumidoras portuguesas alegadamente partilhados com terceiros, o que inclui, por exemplo, receitas indiretas relativas a vendas de anúncios publicitários que são visualizados pelas utilizadoras e receitas indiretas relativas a vendas de dados pessoais a terceiros.
A Ius Omnibus defende ainda que, “atendendo à gravidade da conduta”, cada utilizadora representada na ação receba, “no mínimo”, mil euros por danos não patrimoniais. É aguardado o despacho a determinar o prosseguimento da ação.