Retração da política de privacidade da Meta
A rede social Instagram desativou o recurso que permitia aos usuários enviar mensagens com alto nível de privacidade a partir de 8 de maio de 2026. A partir desta data, o Instagram poderá acessar todo o conteúdo das mensagens diretas, incluindo imagens, vídeos e mensagens de voz. A remoção da chamada criptografia de ponta a ponta (E2EE), em que somente o remetente e o destinatário podem ver o conteúdo, representa uma grande guinada da Meta, empresa responsável pelo Instagram.
A criptografia de ponta a ponta é considerada por especialistas a forma mais segura de troca de mensagens na internet. No entanto, esse tipo de criptografia enfrenta há muito tempo a oposição de grupos que afirmam que ela facilita a disseminação de conteúdo considerado extremo, incluindo crimes, sem que autoridades consigam agir. Por isso, a decisão da Meta de remover esse tipo de criptografia de ponta a ponta do Instagram foi comemorada por grupos como organizações de proteção à infância, mas condenada por defensores da privacidade.
Impacto na segurança de dados e conformidade
A decisão da Meta de abandonar a implementação da ferramenta no Instagram foi comemorada por grupos como a Sociedade Nacional de Proteção de Crianças Contra Crueldade (NSPCC), do Reino Unido, que alerta há anos que a criptografia de ponta a ponta poderia expor crianças a riscos. "Estamos realmente satisfeitos", disse Rani Govender, do NSPCC, acrescentando que a criptografia de ponta a ponta "pode permitir que autores de crimes deixem de ser detectados, o que faz com que o aliciamento e o abuso infantil passem despercebidos".
Por outro lado, defensores da privacidade afirmam que a medida representa um retrocesso. Maya Thomas, da Big Brother Watch, ONG britânica de defesa da privacidade e dos direitos civis, disse estar "decepcionada" com a decisão e afirmou que a criptografia de ponta a ponta era "uma das principais formas de crianças protegerem seus dados na internet". Thomas acrescenta haver preocupação de que a Meta esteja cedendo à pressão de governos.
Na criptografia padrão, que substituiu a criptografia de ponta a ponta, um provedor de serviços de internet pode acessar conteúdo privado, se necessário. Esse é o sistema mais comum nos principais serviços online, como o Gmail, do Google. A Meta disse a jornalistas que a decisão foi tomada porque poucos usuários aderiram ao recurso, mas especialistas afirmam que as ferramentas opcionais costumam ter baixa adesão, já que exigir que usuários ativem um recurso manualmente cria etapas extras no uso da plataforma.
Reações da indústria e especialistas
Alguns analistas, entre eles a especialista em cibersegurança Victoria Baines, acreditam que a decisão reflete uma mudança na postura da Meta em relação à privacidade. "As plataformas de redes sociais monetizam nossas comunicações, publicações, curtidas e mensagens, para direcionar publicidade segmentada", afirmou. "E, cada vez mais, empresas como a Meta estão se concentrando no treinamento de modelos de inteligência artificial [IA], para os quais os dados de mensagens podem ser extremamente valiosos. Acho que a decisão é mais complexa".
O Instagram já afirmou anteriormente que mensagens diretas não são usadas para treinar sistemas de IA. A empresa se recusou a comentar mais detalhadamente a decisão de recuar na política de privacidade, e o chefe do Instagram, Adam Mosseri, recusou pedidos de entrevista. No mês passado, a Meta informou aos funcionários que cliques e atividades em dispositivos de trabalho passariam a ser coletados como dados de treinamento para os modelos de IA da empresa.
Grupos como a ONG Big Brother Watch afirmam que a decisão da Meta pode influenciar toda a indústria de redes sociais. Até recentemente, a expansão da criptografia de ponta a ponta era vista como a direção natural do setor. Esse tipo de criptografia é padrão no Signal, no WhatsApp, no Facebook Messenger, no iMessage, da Apple, e no Google Messages. O Telegram oferece o recurso como opcional, mas não de forma padrão.
Implicações para usuários corporativos e LGPD
A remoção da criptografia de ponta a ponta no Instagram tem implicações diretas para a segurança de dados corporativos e conformidade regulatória, especialmente no Brasil sob a Lei Geral de Proteção de Dados (LGPD). Empresas que utilizam o Instagram para comunicação interna ou externa com clientes devem reconsiderar suas políticas de uso de redes sociais, pois os dados agora estão sujeitos ao acesso da plataforma.
A LGPD exige que as organizações garantam a segurança dos dados pessoais que processam. A decisão da Meta de remover a E2EE significa que os dados sensíveis transmitidos via Instagram não estão mais protegidos contra acesso não autorizado pela própria plataforma. Isso pode criar riscos de conformidade para empresas que lidam com dados sensíveis de clientes ou funcionários.
O que os CISOs devem fazer agora
As organizações devem revisar imediatamente suas políticas de uso de redes sociais para incluir restrições sobre o envio de dados sensíveis via Instagram. A implementação de soluções de segurança de endpoint que monitorem o tráfego de aplicativos de mensagens pode ajudar a identificar vazamentos de dados. Além disso, a conscientização dos usuários sobre os riscos de privacidade associados à remoção da E2EE é crucial.
Empresas que dependem de criptografia de ponta a ponta para proteger comunicações sensíveis devem considerar o uso de alternativas como Signal ou WhatsApp, que mantêm a E2EE. A auditoria de conformidade com a LGPD deve incluir uma avaliação dos riscos associados ao uso de plataformas que não oferecem criptografia de ponta a ponta.