A recente aquisição do Muse Group está sob escárnio público, pois o Audacity é acusado de se tornar spyware e tudo parece cada vez pior.
É o assunto do dia e temos que falar sobre ele, embora a verdade é que o assunto não está totalmente claro. Seja como for, já existem meios de comunicação acusando o Audacity de spyware nada menos e como já tropeçamos na mesma pedra no passado por besteiras, perguntamo-nos se será verdade desta vez?
Audacity é acusado de se tornar spyware e tudo parece cada vez pior
Recapitulando rapidamente os eventos recentes, o popular editor de áudio de código aberto Audacity foi adquirido pelo Muse Group em maio passado e, embora como esperado, o novo proprietário garantiu que nada mudaria e que, se mudasse, seria para melhor.
Mas não demorou muito para que os alarmes fossem acionados pelo endereço que seu novo dono queria imprimir para aquele que é referência em sua categoria.
Foi visto poucos dias após o anúncio do contrato de compra, tudo devido à telemetria que o aplicativo iria apresentar.
A telemetria (a coleta de dados estatísticos para melhorar um aplicativo ou serviço) não é uma prática fora do mundo open source, nem é negativo per si. E tudo deu certo, ao que parece. Em resumo:
- A telemetria é estritamente opcional e está desabilitada por padrão. Nenhum dado é compartilhado, a menos que seja escolhido.
- A telemetria funciona apenas em compilações feitas pelo GitHub CI a partir do repositório oficial.
- Se o Audacity estiver sendo compilado da fonte, uma opção será fornecida para habilitar o código de telemetria. Esta opção estará desabilitada por padrão.
Assim, o processo de coleta de dados pelo Muse Group no Audacity obedeceu às formas que se espera em um projeto sério de código aberto, como ser desabilitado por padrão, alertando o usuário, etc; e, acima de tudo, não para coletar informações de identificação pessoal… com um senão: todas essas informações seriam coletadas por meio de serviços como Google Analytics e Yandex Metrica, que entre tantos outros dados obtêm o endereço IP do usuário.
Este último detalhe gerou muitas reclamações na comunidade mais próxima ao projeto e o Muse Group despachou para limitar o tipo de dados enviados para cada serviço.
Ou seja, tanto o Google Analytics quanto a Yandex Metrica receberiam o IP do usuário, mas os dados enviados seriam muito poucos, de natureza puramente técnica, e seria incorporado um bloqueio de rastreamento cross-site, “o que limita a capacidade de identificação o usuário tanto pelo Google quanto pelo Yandex”, explicaram então.
No entanto, alguns dias atrás, o Grupo Muse atualizou a política de privacidade do Audacity e há novas disposições que não foram apreciadas de forma alguma.
Veja, por exemplo, o parágrafo dedicado à entrega de dados a reguladores e autoridades: “Todos os seus dados pessoais são armazenados em nossos servidores no Espaço Econômico Europeu (EEE). No entanto, de vez em quando, somos obrigados a compartilhar seus dados pessoais com nosso escritório principal na Rússia e nosso consultor externo nos EUA”, afirma o texto.
Isso, é claro, parece muito ruim. Poderia ser entendido em casos de aplicativos e serviços em que os dados possam ser utilizados para algum tipo de investigação criminal, mas… Audacity?
Claro, a cláusula de que a empresa se reserva para compartilhar todos os dados coletados pelo aplicativo, incluindo o endereço IP do usuário, que é mantido intacto em seus servidores por um dia, com “terceiros” que podem ser “conselheiros” soa pior. ou “potenciais compradores”… Com quem quiserem, seria a tradução mais adequada.
Eles também adicionaram outra nova cláusula que foi menos apreciada, se possível, e pela qual o Muse Group também é acusado de violar a licença GPL do Audacity: “O aplicativo que fornecemos não se destina a menores de 13 anos. Se você tem menos de 13 anos, não use o”.
A que se trata este aviso é questão de debate, mas tudo cheira a GDPR europeu, que proíbe certas práticas com menores, incluindo a assinatura e aceitação de contratos ou condições com implicações legais.
Então, o Audacity é um spyware? Não está nada claro.
No momento, as versões mais recentes do aplicativo não incluem nenhum aviso de privacidade ou preferências para habilitar ou desabilitar o envio de telemetria.
O download e uso do Audacity entre menores de 13 anos não é proibido com coação legal, muito menos na página oficial de download… E os requisitos associados às autoridades são comuns a muitos outros aplicativos e serviços de código aberto.
No entanto, embora seja compreensível que os desenvolvedores de um aplicativo como o Audacity queiram coletar dados técnicos dos usuários para ajudá-los a melhorar o software onde for necessário, dados como especificações do sistema, os recursos mais usados, etc.
Você precisa do IP de alguém para estimar o número de usuários ativos do Audacity? E o que é isso sobre compartilhar os dados com quem eles quiserem?
Daí deriva o resto da polêmica, já que o endereço IP real do usuário é mantido por um dia nos servidores do Muse Group, antes de ser ofuscado.
Em qualquer caso, para um aplicativo de edição de áudio que funciona localmente para enviar essas informações a um servidor, isso soa feio.
Daí para qualificá-lo como spyware há um exagero, mas… Seguiremos a novela, para ver até onde ela vai, embora como você possa estar imaginando, as trombetas do fork – definitivas, não ameaças – soar cada vez mais alto.