A organização sem fins lucrativos de privacidade noyb (abreviação de None Of Your Enterprise) sediada em Viena entrou com uma reclamação junto à autoridade austríaca de proteção de dados (DPA) contra a Mozilla, fabricante do Firefox, por habilitar um novo recurso chamado Privateness Preserving Attribution (PPA) sem buscar explicitamente o consentimento dos usuários.
“Ao contrário do seu nome tranquilizador, essa tecnologia permite que o Firefox rastreie o comportamento do usuário em websites”, disse noyb. “Em essência, o navegador agora está controlando o rastreamento, em vez de websites individuais.”
Noyb também criticou a Mozilla por supostamente seguir o exemplo do Google ao habilitar “secretamente” o recurso por padrão, sem informar os usuários.
O PPA, que atualmente está habilitado no Firefox versão 128 como um recurso experimental, tem paralelos no projeto Privateness Sandbox do Google no Chrome.
A iniciativa, agora abandonada pelo Google, buscava substituir cookies de rastreamento de terceiros por um conjunto de APIs incorporadas ao navegador da internet com as quais os anunciantes podem se comunicar para determinar os interesses dos usuários e veicular anúncios direcionados.
Em outras palavras, o navegador da internet atua como um intermediário que armazena informações sobre as diferentes categorias nas quais os usuários podem ser classificados com base em seus padrões de navegação na web.
O PPA, segundo a Mozilla, é uma maneira dos websites “entenderem o desempenho de seus anúncios sem coletar dados sobre pessoas individualmente”, descrevendo-o como uma “alternativa não invasiva ao rastreamento entre websites”.
Também é semelhante ao Privateness Preserving Advert Click on Attribution da Apple, que permite aos anunciantes medir a eficácia de suas campanhas publicitárias na internet sem comprometer a privacidade do usuário.
O funcionamento do PPA é o seguinte: websites que veiculam anúncios podem solicitar que o Firefox se lembre dos anúncios na forma de uma impressão que inclui detalhes sobre os próprios anúncios, como o website de destino.
Se um usuário do Firefox acaba visitando o website de destino e realiza uma ação considerada valiosa pela empresa – por exemplo, fazer uma compra on-line clicando no anúncio, também chamado de “conversão” – esse website pode solicitar que o navegador gere um relatório.
O relatório gerado é criptografado e enviado anonimamente usando o Distributed Aggregation Protocol (DAP) para um “serviço de agregação”, após o qual os resultados são combinados com outros relatórios semelhantes para criar um resumo que torna impossível aprender muito sobre qualquer indivíduo.
Isso, por sua vez, é possível graças a uma estrutura matemática chamada privacidade diferencial, que permite o compartilhamento de informações agregadas sobre usuários de maneira a preservar a privacidade, adicionando ruído aleatório aos resultados para evitar ataques de reidentificação.
“O PPA está habilitado no Firefox a partir da versão 128”, observa a Mozilla em um documento de suporte. “Um pequeno número de websites vai testar isso e fornecer suggestions para informar nossos planos de padronização e nos ajudar a entender se isso provavelmente ganhará força.”
“O PPA não envolve o envio de informações sobre suas atividades de navegação para ninguém. Os anunciantes recebem apenas informações agregadas que respondem a perguntas básicas sobre a eficácia de sua publicidade.”
É nesse aspecto que o noyb encontrou falhas, pois viola os rigorosos regulamentos de proteção de dados da União Europeia (UE) ao habilitar o PPA por padrão sem solicitar as permissões dos usuários.
“Embora isso possa ser menos invasivo do que o rastreamento ilimitado, que ainda é a norma nos EUA, ainda intrude nos direitos do usuário sob o GDPR da UE”, disse o grupo de defesa. “Na realidade, essa opção de rastreamento também não substitui os cookies, mas é simplesmente uma forma alternativa – adicional – para os websites direcionarem publicidade.”
Ele também observou que um desenvolvedor da Mozilla justificou a medida alegando que os usuários não podem tomar uma decisão informada e que “explicar um sistema como o PPA seria uma tarefa difícil”.
“É uma pena que uma organização como a Mozilla acredite que os usuários são burros demais para dizer sim ou não”, disse Felix Mikolasch, advogado de proteção de dados da noyb. “Os usuários deveriam poder fazer uma escolha e o recurso deveria ter sido desativado por padrão.”
