Redes sociais falham em cumprir LGPD e coletam dados de quem nunca abriu conta, indica estudo da FGV

Oito das dezessete plataformas digitais mais populares entre brasileiros reúnem informações pessoais até mesmo de quem nunca criou perfil nos serviços, segundo análise conduzida pelo Centro de Tecnologia e Sociedade da Fundação Getulio Vargas. O mapeamento, elaborado entre maio e julho de 2024, indica que a prática de “mineração de dados” – coleta automatizada de conteúdos disponíveis na internet – persiste sem transparência suficiente e contraria princípios de proteção previstos na Lei Geral de Proteção de Dados (LGPD).

Quem é afetado e de que forma ocorre a coleta

LinkedIn, TikTok, Instagram, Facebook, Threads, Reddit, X (antigo Twitter) e YouTube foram apontadas como redes que extraem dados de pessoas externas aos seus ecossistemas. O procedimento dedica-se a varrer páginas abertas, formulários e interações públicas para identificar nomes, endereços de e-mail, imagens e preferências de navegação. A estratégia dispensa qualquer consentimento prévio dos indivíduos monitorados, pois se baseia em rastreadores automatizados capazes de indexar grandes volumes de informação em segundos.

Entre as oito plataformas, somente LinkedIn e TikTok revelaram aos pesquisadores quais conjuntos de dados foram efetivamente obtidos por essa via. As seis demais não emitiram posicionamento, o que impede que potenciais titulares saibam que tipo de registro circula nos servidores das empresas.

Parâmetros e alcance do levantamento

Para avaliar o grau de conformidade com a legislação, o estudo “Redes Sociais e LGPD” aplicou 16 critérios objetivos, todos alinhados aos artigos mais centrais da lei brasileira. Os itens verificados contemplam, entre outros, transparência na coleta, identificação de encarregado de dados, existência de canal específico para solicitações de titulares, mecanismos de anonimização e clareza sobre decisões automatizadas.

A amostragem englobou as redes e aplicativos de mensagens que concentram o maior número de usuários ativos no País. O período de análise coincidiu com o quarto ano de vigência plena da LGPD, circunstância que, na visão dos pesquisadores, deveria ter impulsionado maior maturidade nas políticas de privacidade.

Constatação principal: nenhuma plataforma totalmente adequada

Mesmo com o prazo de adaptação já consolidado, nenhuma das dezessete empresas avaliadas cumpriu todos os requisitos previstos na legislação. O resultado expõe lacunas estruturais em políticas corporativas que afetam tanto usuários cadastrados quanto pessoas que nunca formalizaram vínculo com as redes.

Entre os pontos mais críticos, destaca-se a falta de explicação clara sobre finalidades de tratamento, períodos de retenção das informações e procedimentos internos para garantir segurança em caso de incidentes. A inexistência de rotinas padronizadas para anonimizar bancos de dados, sobretudo quando envolvem crianças, adolescentes ou dados sensíveis, amplia o risco de exposição e dificulta a responsabilização em eventuais vazamentos.

Decisões automatizadas: transparência ainda restrita

Do universo pesquisado, apenas LinkedIn e Telegram atingiram pontuação máxima no critério que exige detalhar como algoritmos tomam decisões sem intervenção humana. Os dois serviços disponibilizam documentos que descrevem a lógica aplicada pelos sistemas, o tipo de dado considerado e as possíveis consequências para o titular.

Meta – controladora de Facebook, Instagram e Threads – e X receberam avaliação parcial, pois fornecem explicações gerais, mas não detalham a totalidade dos processos automatizados. Na extremidade oposta, Signal obteve o desempenho mais baixo. Embora o aplicativo de mensagens se proponha a guardar o mínimo possível de registros, sua política de privacidade é descrita como “minimalista” e distante dos padrões de abrangência exigidos pelo marco regulatório brasileiro.

Encarregado de dados: evolução só após a pesquisa

No momento da coleta de informações, nenhuma plataforma indicava publicamente o encarregado de dados — profissional responsável por intermediar dúvidas de titulares e fiscalizadores. A referência disponível era, em todos os casos, apenas um endereço de e-mail genérico de atendimento.

Posteriormente, Meta, X, Telegram e YouTube passaram a nomear oficialmente seus responsáveis, configurando avanço pontual, mas ainda insuficiente para garantir total aderência à regra. O cenário ressalta a importância de manter contato acessível e identificado, condição imprescindível para que cidadãos exerçam direitos de confirmação, acesso, correção e eliminação de registros.

Posicionamento e ações da Autoridade Nacional de Proteção de Dados

Diante das irregularidades, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu alertas sobre a ausência de técnicas adequadas de anonimização. O órgão destacou que falhas no pré-tratamento de informações tendem a potencializar danos, sobretudo quando envolvem categorias sensíveis ou públicos vulneráveis.

Para lidar com cenários de elevado alcance e possível impacto, a ANPD adotou um modelo de análise de risco que combina número de usuários e gravidade de consequências em caso de vazamento. Com base nesse referencial, suspendeu temporariamente, em 2024, a utilização de dados brasileiros pela Meta em projetos de inteligência artificial. Três meses depois, a medida foi revertida após a empresa criar formulário que permite até a indivíduos sem conta solicitar a exclusão de registros.

Pontuações, boas práticas e diferenças de recursos

Apesar das deficiências gerais, os pesquisadores identificaram iniciativas passíveis de replicação. Com 12,5 de 16 pontos, a Meta alcançou a melhor nota consolidada, reflexo de investimentos robustos em políticas de compliance. O Telegram recebeu menção positiva pelo LGPDBot, ferramenta que mostra ao usuário, em linguagem simples, quais dados foram acessados e por qual motivo. Já o X foi citado por manter política de privacidade estruturada em tabelas e diagramas ilustrativos, recurso que facilita a compreensão leiga.

O estudo também aponta que empresas de maior porte tendem a reunir condições financeiras e técnicas para implementar controles avançados, enquanto organizações menores enfrentam custos elevados na adequação. Essa assimetria aprofunda o descompasso entre serviços altamente capitalizados e concorrentes que operam com estrutura enxuta, gerando ambiente propício à concentração de mercado.

Impactos práticos para titulares de dados

O quadro descrito reforça a importância de atenção redobrada por parte de qualquer cidadão que interaja em ambientes digitais ou tenha informações circulando na rede, mesmo sem cadastro formal. A mineração de dados amplia a probabilidade de correlações involuntárias, perfis comportamentais não autorizados e oferta de conteúdos direcionados sem transparência.

Além disso, a ausência de comunicação eficiente sobre o tratamento dificulta a solicitação de direitos previstos na LGPD, como acesso, correção ou eliminação. Embora a legislação assegure prerrogativas a todos os titulares, a efetividade dessas garantias depende de canais funcionais e políticas que detalhem etapas, prazos e responsáveis.

Perspectivas de conformidade

Com o avanço de modelos regulatórios baseados em risco e a consolidação de sanções administrativas, a tendência é que plataformas acelerem ajustes para evitar interrupções de serviços ou penalidades financeiras. Contudo, o próprio levantamento demonstra que, quatro anos após o início da vigência plena da LGPD, ainda existe distância significativa entre o texto legal e as práticas cotidianas das maiores redes sociais utilizadas no Brasil.

O grau de maturidade regulatória exigido envolve revisão constante de termos de uso, integração de controles técnicos — como anonimização e registros de acesso — e qualificação de equipes capazes de responder, em linguagem clara, a demandas de titulares e autoridades. Sem esses elementos, a coleta de dados, inclusive de não usuários, permanece vulnerável a abusos e expõe brechas que podem ser exploradas de forma indevida.