Início » Aplicativos e Software » Audacity vai mudar política de privacidade após acusações de virar spyware

Audacity vai mudar política de privacidade após acusações de virar spyware

Muse Group publicou nota para explicar pontos polêmicos da nova política de privacidade do editor de áudio Audacity

Emerson Alecrim Por

O popular editor de áudio Audacity é um dos assuntos do momento, mas por um motivo ruim: a nova política de privacidade da ferramenta dá abertura para coleta de dados do usuário. Além disso, o Muse Group, atual controlador do projeto, foi acusado de transformar o programa em um spyware. As críticas foram tão numerosas que a empresa divulgou uma nota para se defender.

Audacity 3.0.2 para Windows (imagem: Emerson Alecrim/Tecnoblog)

Audacity 3.0.2 para Windows (imagem: Emerson Alecrim/Tecnoblog)

Por que tanta polêmica?

A popularidade do Audacity é resultado de uma série de conveniências. O software tem código-fonte aberto (licença GPL), está disponível para Windows, macOS e Linux, é gratuito, não exige muitos recursos do computador e é relativamente fácil de se usar.

Confiabilidade também é um atributo do Audacity, principalmente pelo fato de o software existir desde o ano 2000. Ou era: tudo mudou há dois meses, quando o Muse Group assumiu o controle do projeto.

Uma das mudanças promovidas pela empresa é uma nova política de privacidade que, originalmente, entraria em vigor a partir do Audacity 3.0.3. Da forma como foi redigido, o texto da política permite ao software coletar dados do usuário, supostamente para fins de análise e melhoramentos.

Essa alteração, por si só, foi suficiente para despertar a ira de muitos usuários, mas teve mais. A nova política também prevê que o software colete dados “para aplicação da lei, litígios e requisições de autoridades (se houver)”. Esse ponto é tão vago que também causou preocupação.

Os dados coletados podem ainda ser compartilhados com terceiros, incluindo entidades governamentais ou de aplicação da lei e compradores em potencial.

Muse Group demora, mas se pronuncia

Com as reclamações a respeito da nova política se acumulando, Daniel Ray, chefe de estratégia do Muse Group, decidiu publicar um esclarecimento na página do Audacity no GitHub.

Ray começa dizendo que a polêmica é efeita da falta de clareza da nova política de privacidade, problema que, de acordo com ele, está sendo corrigido.

Em seguida, o executivo afirma que o Muse Group não vende ou compartilha dados coletados, exceto sob ordem judicial, e que estes incluem apenas endereço IP (que), versão do sistema operacional e tipo de CPU.

Atualizações automáticas e relatório de erros

Na mesma nota, Daniel Ray explica que o GDPR considera um endereço IP como “dado pessoal”, daí a necessidade de incluir essa expressão na política de privacidade. Ele também explica que isso é necessário por conta de dois recursos que serão adicionados à próxima versão do Audacity.

Uma é a função de atualização automática. A outra é um modo de relatório de erros no software que só será aplicado se o usuário concordar. Para esta funcionalidade, a coleta de IP, versão do sistema operacional e identificação da CPU faz sentido, pois essas informações podem ser classificadas como dados de telemetria.

De todo modo, Rey afirma que o endereço IP coletado fica registrado nos servidores do Muse Group por apenas 24 horas. Depois desse prazo, essa informação é “pseudonimizada”.

Por causa da polêmica, a empresa prometeu revisar o texto da política de privacidade e adiar a sua implementação. A próxima versão do Audacity (3.0.3) não trará a nova política, portanto.

As explicações não convenceram a todos os usuários. Alguns já falam até em criar um fork, isto é, um projeto derivado. Por conta disso, não vai ser estranho se o Muse Group soltar mais notas de esclarecimento em breve.

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Rafael Machado de Souza (@rafael.mds)

RIP Audacity… só no aguardo do fork.

Mateus B. Cassiano (@mbc07)

Opinião não popular mas depois de dar uma analisada na proposta inicial que começou a polêmica e nas discussões seguintes no GitHub, estão fazendo uma grande tempestade em um copo d’água.

Resumo da ópera

A proposta inicial coletaria alguns dados de telemetria básica, atrelados a uma ID aleatória gerada localmente, essas opções viriam desativadas por padrão e só estariam disponíveis nas builds automáticas disponibilizadas pelo GitHub. Se você estivesse compilando diretamente do código-fonte, teria que ativar explicitamente os recursos de telemetria com uma flag para ter as opções disponíveis no programa compilado.

A principal reclamação na proposta inicial era que os dados coletados seriam processados pelo Yandex Metrica e pelo Google Analytics, o que despertou a ira de muitos. Pois bem, eles voltaram atrás e na proposta seguinte, praticamente toda a telemetria foi removida. Manteriam apenas a opção de verificar por atualizações e a de enviar um relatório caso o programa apresentasse erros ou travasse, ambas desativadas por padrão.

Para verificar por atualizações, uma requisição contendo a versão do programa, do sistema operacional e a arquitetura do processador seria enviada para os servidores próprios do Audacity (abrindo mão dos serviços de análise da Yandex e da Google). No caso de um relatório de erros, seria enviado também a quantidade de núcleos do processador e o usuário teria um botão permitindo visualizar o relatório completo antes dele ser enviado.

A comunidade aparentou estar de acordo com as mudanças… até publicarem a política de privacidade. Concordo que da maneira que foi escrita, a política pode assustar, mas ela apenas se adequa à proposta anterior. Sobre coletar o IP, é simplesmente como a internet funciona, se você envia uma requisição para um servidor, ele vai ter o seu IP, não tem como contornar, ainda sim a Muse Group se comprometeu a randomizar a informação após 24 horas.

O IP é considerado uma informação sensível pela GDPR (e a Muse Group é sediada na Europa) e aí entra a restrição de uso para menores de 13 anos, estão apenas seguindo as leis locais. O mesmo se aplica ao tópico detalhando o fornecimento de dados mediante ordem judicial, isso é implícito para qualquer empresa em praticamente todos os países, até mesmo se não constasse na política de privacidade. Prometeram atualizar a política mais uma vez e até esclareceram alguns pontos, mas o estrago já estava feito ¯\_(ツ)_/¯

O programa continua licenciado pela GPL, logo qualquer um pode auditar o código e ver o que está sendo coletado, e as opções de telemetria vem todas desativadas por padrão, inclusive nem estarão disponíveis a menos que você explicitamente ative o suporte para elas no momento que for compilar o programa.

Conheço outros programas de código-fonte aberto que coletam muito mais informações do que a proposta do Audacity e nem por isso a comunidade FLOSS caiu matando ou fizeram esse alarde todo como estão fazendo agora. Inclusive a Muse Group mantém há anos o Muse Score (também licenciado pela GPL) e até então não fizeram nada de errado, acho que pelo menos um voto de confiança a empresa merece…

² (@centauro)

Em parte a tempestade que fizeram foi por causa da forma como a politica de privacidade foi escrita, que foi basicamente um ctrl+c ctrl+v de outro programa da Muse Group, o que mostra que eles não estavam preocupados (ou não precisavam estar, sei lá) com alguma especificidade do Audacity.

Mas outro ponto que eu acho que pegou muito é que, por natureza, o Audacity é um programa offline. Não tem motivo algum pra um programa offline coletar telemetria, IP, informação de hardware. Sim, eu entendo que isso acaba sendo útil pra relatório de bugs, melhorias pontuais focados nos sistemas mais utilizados e acaba sendo necessário quando você implementa um sistema de atualização automática (que muitos defensores da privacidade abominam exatamente por isso). Mas tem outro porém, que é o fato que na política de privacidade eles diziam que esses dados poderiam ser compartilhados com terceiros que, do modo que estava escrito, poderia ser basicamente qualquer um que eles bem entendessem.

E tem também toda a questão da mudança de política sem grandes alardes e tal e provavelmente outras coisas mais.