O Procon de São Paulo intimou o Facebook a explicar notícias sobre o vazamento de dados de usuários do Instagram, que é de sua propriedade. A rede social tem 72 horas para informar que dados armazena e de que forma, se compartilha essas informações e se o vazamento afetou usuários no Brasil (veja a lista completa de exigências abaixo).

Segundo reportagem do jornal britânico The Telegraph, a União Europeia investiga uma reclamação formal feita pelo cientista de dados David Stier de que o Instagram permitiu a exposição de números de telefone e endereços de e-mail de menores de idade fossem publicados se eles mudassem suas contas para “business”.

De acordo com a denúncia de Stier, cerca de 5 milhões de menores de idade na Europa tiveram os dados expostos.

As investigações vêm sendo conduzidas há pelo menos um mês pela Agência de Proteção de Dados da Irlanda (DPC, na sigla em inglês).

Agora o Procon de São Paulo quer saber a extensão do vazamento e se brasileiros foram afetados. O órgão também quer saber se o aplicativo armazena os arquivos de seus usuários, onde e de que forma. E quer que o Facebook informe quais são os critérios usados para o compartilhamento dos dados com anunciantes e clientes.

Veja a lista completa de informações exigidas pelo Procon:

– se é feita comunicação de forma ostensiva aos usuários de que seus dados serão coletados ao ingressarem na sua rede;

– quais tipos de dados são coletados e se é solicitado de forma ostensiva aos seus usuários o consentimento para essa coleta;

– se seus usuários são informados sobre o tratamento que será aplicado aos seus dados, tais como coleta, compartilhamento, armazenamento ou finalidades empresariais entre outra;

– se as publicações realizadas pelos usuários, além de armazenadas em seus dispositivos, ficam também hospedadas pela empresa; por quanto tempo; com qual finalidade; de que forma essas publicações podem ser acessadas e quais os procedimentos e sistemas de proteção contra invasão ou vazamento de dados;

– se a hospedagem dos dados de seus usuários é realizada no Brasil, caso contrário onde estão armazenadas;

– se para a efetivação dos mecanismos de segurança o usuário precisa realizar algum procedimento em seu dispositivo e, em caso positivo, se essa informação é prestada de forma ostensiva;

– se a falha noticiada também ocorreu no Brasil, neste caso, quantos usuários foram atingidos e quais as providências adotadas;

– se está adequada à regulamentação da lei geral de proteção de dados (Lei 13719/2018) para continuar a disponibilizar o serviço em território nacional;

– se pode demonstrar que, quando o consumidor aceita os termos de condições de uso do aplicativo, o armazenamento, a utilização e segurança de seus dados já estão em conformidade com as diretrizes da Lei Geral de Proteção de Dados;

– se compartilha as informações pessoais e sensíveis dos usuários com seus parceiros comerciais e, em caso positivo, quais os critérios usados;

– se adota também no Brasil, os padrões europeus de informar claramente aos usuários sobre a política de uso de dados pessoais, transparência, informação satisfatória e consentimento válido.