Contexto da ação judicial
O LinkedIn virou alvo de duas ações judiciais coletivas que acusaram a plataforma de extrair dados de usuários sem consentimento por meio da varredura de extensões de navegadores. Os dois processos foram protocolados em um tribunal distrital na Califórnia, nos EUA, depois que o Fairlinked e.V., uma associação que afirma estar ligada a usuários comerciais do LinkedIn, publicou um relatório alegando que a rede social espionava usuários com um arquivo JavaScript que escaneia extensões no Chrome.
Em resposta às ações, o LinkedIn afirmou que a disputa é "exagerada" e que distorce práticas firmadas em sua Política de Privacidade. "Isso é um castelo de cartas construído inteiramente por uma invenção", criticou em nota ao PCMag. A plataforma defende que a verificação é necessária para proteger a privacidade dos usuários e manter a estabilidade do site, conforme justificado na Política de Privacidade.
Espionagem silenciosa e coleta de dados
Causando polêmica, o caso da varredura silenciosa de extensões pelo LinkedIn revelou que a plataforma usa um script em uma operação que analisa mais de 6 mil extensões, usando os dados encontrados para verificar se os usuários estão usando ferramentas de concorrentes. Além disso, o script também possibilita que a rede colete outros tipos de informações sensíveis, como resolução de tela, fuso horário, configuração de idioma, núcleos de CPU e mais.
Essa coleta de dados ocorre sem o conhecimento explícito do usuário, levantando questões sobre consentimento e transparência. A natureza da coleta, que inclui informações de hardware e software do dispositivo, pode ser considerada invasiva por especialistas em privacidade e segurança da informação.
Desdobramento judicial e implicações
A justificativa do LinkedIn, no entanto, não foi o bastante para evitar um desdobramento na justiça americana. Ambas as ações exigem que a rede pague indenizações aos usuários afetados e interrompa a verificação das extensões. De acordo com o PCMag, uma ação tem como foco a possível violação de leis de privacidade e acesso a dados, enquanto outra aposta na conduta da plataforma diante do escaneamento sigiloso.
Para os CISOs e profissionais de segurança, este caso destaca a importância da governança de dados e da conformidade com leis de privacidade. A coleta de dados sem consentimento adequado pode resultar em multas significativas e danos à reputação da organização. A transparência nas práticas de coleta de dados é essencial para manter a confiança dos usuários.
Recomendações para governança de dados
Organizações devem revisar suas políticas de coleta de dados para garantir que o consentimento seja obtido de forma clara e explícita. A minimização de dados, coletando apenas o estritamente necessário, é uma prática recomendada para reduzir riscos de privacidade. Além disso, a implementação de controles de acesso e criptografia de dados pode proteger as informações coletadas contra acessos não autorizados.
A conformidade com regulamentações como a LGPD no Brasil e o GDPR na Europa exige que as organizações sejam transparentes sobre como os dados são coletados, usados e compartilhados. A falta de conformidade pode resultar em sanções legais e financeiras severas.
Perguntas frequentes
- Qual é a acusação? Varredura de extensões para coletar dados sem consentimento.
- Qual a resposta do LinkedIn? A prática é necessária para segurança e estabilidade.
- Qual o impacto? Ações judiciais e possíveis indenizações.