Seu celular está vendendo sua localização — conheça a indústria que lucra com isso

Seu celular sabe onde você dorme, onde trabalha, qual médico você visita, qual local de culto frequenta, quais comícios políticos você comparece e quais bares você fecha nas noites de sexta-feira. Essas informações — derivadas do sinal GPS que seu celular transmite, das redes Wi-Fi às quais se conecta e dos beacons Bluetooth que ele detecta — são coletadas por aplicativos no seu dispositivo, agregadas por corretores de dados, empacotadas em conjuntos de dados de mobilidade e vendidas a compradores que você nunca conhecerá, para propósitos sobre os quais você nunca foi informado.

Esta não é uma preocupação hipotética de privacidade. É uma indústria ativa de bilhões de dólares que opera em escala comercial desde aproximadamente 2015 e que atinge os dados da maioria dos usuários de smartphones nos Estados Unidos, Europa e muitas outras regiões. Entender como funciona, quem lucra e o que — se algo — pode ser feito a respeito requer olhar além da linguagem tranquilizadora nas caixas de diálogo de permissão dos aplicativos para a infraestrutura que essas permissões alimentam.

Como os dados de localização são coletados

O mecanismo de coleta principal é o modelo SDK (Software Development Kit). Empresas corretoras de dados de localização fornecem SDKs gratuitos para desenvolvedores de aplicativos — bibliotecas de código que lidam com funções como análises, atribuição de publicidade ou dados meteorológicos. Em troca, o SDK coleta sinais de localização de cada usuário do aplicativo e os envia de volta para os servidores do corretor. O desenvolvedor do aplicativo obtém ferramentas de análise gratuitas; o corretor obtém dados de localização da base de usuários do aplicativo.

A escala de implantação de SDK é impressionante. A SafeGraph, um dos maiores corretores de dados de localização dos EUA antes de se fundir com a Placekey e se reposicionar em 2022, estava coletando dados de SDKs incorporados em mais de 45 milhões de aplicativos. Veraset, Foursquare, X-Mode (agora Outlogic), Unacast e dezenas de players menores operam redes SDK semelhantes. A implantação sobreposta de várias redes SDK significa que a localização de um único usuário de smartphone pode ser coletada simultaneamente por cinco ou mais corretores de dados distintos por meio de diferentes aplicativos que ele instalou.

Os dados de localização coletados são tipicamente coordenadas GPS com carimbo de data/hora — latitude, longitude e carimbo de data/hora — capturadas em intervalos que variam de alguns segundos a alguns minutos quando o aplicativo está em uso ou sendo executado em segundo plano. Ao longo de meses e anos, isso produz um histórico de movimentação mais revelador do que a presença da maioria das pessoas nas redes sociais: mostra não o que alguém diz que faz, mas o que realmente faz, consistentemente, ao longo do tempo.

Para que os dados são vendidos

Os usos dos dados de localização comercial são mais variados do que a maioria das pessoas imagina. O uso mais conhecido é a publicidade direcionada: saber que um usuário visita regularmente um determinado tipo de estabelecimento varejista permite que os anunciantes veiculem anúncios relevantes para a localização. Este é o caso de uso que as lojas de aplicativos enfatizam nas divulgações de permissão e que a maioria dos usuários entende vagamente.

Menos visíveis são as aplicações financeiras dos dados de localização. Hedge funds compram conjuntos de dados de mobilidade para rastrear o tráfego de pedestres em locais de varejo antes dos anúncios de lucros — se o tráfego de pedestres nas lojas de um concorrente está diminuindo, isso é um sinal de negociação. REITs e investidores imobiliários comerciais usam dados de mobilidade para avaliar a viabilidade de propriedades potenciais. Seguradoras têm explorado o uso de dados de mobilidade para subscrição comportamental (como alguém dirige, onde estaciona, se seu endereço residencial declarado corresponde ao seu local real de sono).

O uso governamental é extenso e legalmente nebuloso. The Wall Street Journal, Vice/Motherboard e The New York Times documentaram agências governamentais dos EUA — incluindo o Departamento de Defesa, IRS, ICE e CBP — comprando dados de localização comerciais para rastrear indivíduos sem obter mandados. A teoria legal é que a compra de dados comercialmente disponíveis não constitui uma busca sob a Quarta Emenda, porque os usuários os compartilharam "voluntariamente" com os aplicativos. A decisão da Suprema Corte no caso Carpenter v. United States em 2018 considerou que obter dados históricos de localização de torres de celular sem um mandado é inconstitucional, mas a decisão não cobriu explicitamente conjuntos de dados de localização comprados comercialmente, criando uma zona cinzenta legal que as agências têm explorado.

O problema do consentimento

Os corretores de dados de localização argumentam que a coleta é consensual — os usuários concordam com a coleta de dados quando aceitam as permissões do aplicativo. Esse argumento não resiste ao escrutínio por vários motivos. As caixas de diálogo de permissão do aplicativo não revelam que os dados de localização serão vendidos a terceiros, que os agregarão com dados de outros aplicativos, os reterão indefinidamente e os venderão a compradores, incluindo agências governamentais. A caixa de diálogo de permissão diz "Permitir acesso à localização" — não diz "Sua localização será combinada com dados de localização de seus outros aplicativos e vendida a 200 empresas, incluindo hedge funds, seguradoras e forças policiais federais."

O "consentimento" também é estruturalmente coagido: muitos aplicativos não funcionam sem a permissão de localização, mesmo quando a localização não é necessária para sua função principal. Um jogo que solicita acesso à localização para "personalizar sua experiência" está explorando o desejo dos usuários de usar o jogo para extrair dados valiosos que não têm nada a ver com o jogo. A Comissão Federal de Comércio documentou inúmeros casos de aplicativos solicitando permissões desnecessárias especificamente para monetização de dados.

O que está mudando

A pressão regulatória tem aumentado. O FTC tomou medidas coercitivas contra vários corretores de dados, incluindo um acordo de 2024 com a X-Mode/Outlogic que a proibiu de vender dados de localização sensíveis (dados que revelam visitas a instalações médicas, organizações religiosas ou eventos políticos) sem consentimento explícito. O FTC também fez um acordo com a InMarket em 2024, proibindo-a de vender dados de localização derivados de identificadores de publicidade sem consentimento.

A Transparência de Rastreamento de Aplicativos da Apple (ATT), lançada no iOS 14.5 em 2021, exigiu que os aplicativos pedissem permissão antes de rastrear usuários em outros aplicativos e sites. O impacto foi significativo: estima-se que 75 a 80% dos usuários do iOS recusam o rastreamento quando questionados explicitamente. Isso reduziu substancialmente o sinal disponível para SDKs focados em publicidade, e várias empresas de dados de localização que dependiam de dados do iOS relataram impactos significativos na receita.

O GDPR da UE tem sido mais agressivo em exigir consentimento afirmativo para a coleta de dados de localização. Várias grandes empresas de tecnologia de publicidade enfrentaram multas substanciais do GDPR por processamento de dados de localização sem base legal adequada. No entanto, a aplicação tem sido desigual entre os estados membros da UE, e a infraestrutura de consentimento que muitas empresas implementaram (banners de consentimento, Estrutura de Transparência e Consentimento do IAB) tem sido repetidamente considerada inadequada pelas autoridades de proteção de dados.

O que você realmente pode fazer

A proteção mais eficaz é limitar as permissões de localização no nível do sistema operacional. Tanto o iOS quanto o Android agora permitem restringir a "localização precisa" para "localização aproximada" para aplicativos que não precisam genuinamente de precisão, e ambos permitem limitar o acesso à localização a "apenas quando o aplicativo estiver em uso" em vez de acesso em segundo plano. Revisar e revogar permissões de localização para aplicativos que não precisam delas reduz materialmente a superfície de coleta do SDK.

Redefinir periodicamente seu identificador de publicidade reduz a vinculabilidade dos seus dados de localização a uma identidade persistente. No iOS, isso está em Ajustes > Privacidade > Rastreamento; no Android em Google > Anúncios. Não impede a coleta, mas quebra a continuidade de longo prazo do conjunto de dados associado ao seu dispositivo.

O problema estrutural — que a coleta de dados de localização está incorporada em uma infraestrutura comercial na qual os desenvolvedores de aplicativos participam passivamente por meio da adoção de SDK — não pode ser resolvido por configurações individuais do usuário. As mudanças que o abordariam exigem requisitos regulatórios para divulgação afirmativa das vendas de dados, requisitos de mandado para acesso governamental e penalidades significativas para corretores que os violarem. Os EUA estão começando a se mover nessa direção, mas a distância entre a aplicação atual e a proteção adequada ainda é grande.