Audacity vai mudar política de privacidade após acusações de virar spyware

RIP Audacity… só no aguardo do fork.

3 curtidas

O estrago já tá feito, não uso mas se usasse, poderia colocar em letras garrafais que não coleta dado nenhum que eu já não usaria mais.

1 curtida

Lamentavel… estragaram o clássico Audacity

Opinião não popular mas depois de dar uma analisada na proposta inicial que começou a polêmica e nas discussões seguintes no GitHub, estão fazendo uma grande tempestade em um copo d’água.

Resumo da ópera

A proposta inicial coletaria alguns dados de telemetria básica, atrelados a uma ID aleatória gerada localmente, essas opções viriam desativadas por padrão e só estariam disponíveis nas builds automáticas disponibilizadas pelo GitHub. Se você estivesse compilando diretamente do código-fonte, teria que ativar explicitamente os recursos de telemetria com uma flag para ter as opções disponíveis no programa compilado.

A principal reclamação na proposta inicial era que os dados coletados seriam processados pelo Yandex Metrica e pelo Google Analytics, o que despertou a ira de muitos. Pois bem, eles voltaram atrás e na proposta seguinte, praticamente toda a telemetria foi removida. Manteriam apenas a opção de verificar por atualizações e a de enviar um relatório caso o programa apresentasse erros ou travasse, ambas desativadas por padrão.

Para verificar por atualizações, uma requisição contendo a versão do programa, do sistema operacional e a arquitetura do processador seria enviada para os servidores próprios do Audacity (abrindo mão dos serviços de análise da Yandex e da Google). No caso de um relatório de erros, seria enviado também a quantidade de núcleos do processador e o usuário teria um botão permitindo visualizar o relatório completo antes dele ser enviado.

A comunidade aparentou estar de acordo com as mudanças… até publicarem a política de privacidade. Concordo que da maneira que foi escrita, a política pode assustar, mas ela apenas se adequa à proposta anterior. Sobre coletar o IP, é simplesmente como a internet funciona, se você envia uma requisição para um servidor, ele vai ter o seu IP, não tem como contornar, ainda sim a Muse Group se comprometeu a randomizar a informação após 24 horas.

O IP é considerado uma informação sensível pela GDPR (e a Muse Group é sediada na Europa) e aí entra a restrição de uso para menores de 13 anos, estão apenas seguindo as leis locais. O mesmo se aplica ao tópico detalhando o fornecimento de dados mediante ordem judicial, isso é implícito para qualquer empresa em praticamente todos os países, até mesmo se não constasse na política de privacidade. Prometeram atualizar a política mais uma vez e até esclareceram alguns pontos, mas o estrago já estava feito ¯\_(ツ)_/¯

O programa continua licenciado pela GPL, logo qualquer um pode auditar o código e ver o que está sendo coletado, e as opções de telemetria vem todas desativadas por padrão, inclusive nem estarão disponíveis a menos que você explicitamente ative o suporte para elas no momento que for compilar o programa.

Conheço outros programas de código-fonte aberto que coletam muito mais informações do que a proposta do Audacity e nem por isso a comunidade FLOSS caiu matando ou fizeram esse alarde todo como estão fazendo agora. Inclusive a Muse Group mantém há anos o Muse Score (também licenciado pela GPL) e até então não fizeram nada de errado, acho que pelo menos um voto de confiança a empresa merece…

2 curtidas

Em parte a tempestade que fizeram foi por causa da forma como a politica de privacidade foi escrita, que foi basicamente um ctrl+c ctrl+v de outro programa da Muse Group, o que mostra que eles não estavam preocupados (ou não precisavam estar, sei lá) com alguma especificidade do Audacity.

Mas outro ponto que eu acho que pegou muito é que, por natureza, o Audacity é um programa offline. Não tem motivo algum pra um programa offline coletar telemetria, IP, informação de hardware. Sim, eu entendo que isso acaba sendo útil pra relatório de bugs, melhorias pontuais focados nos sistemas mais utilizados e acaba sendo necessário quando você implementa um sistema de atualização automática (que muitos defensores da privacidade abominam exatamente por isso). Mas tem outro porém, que é o fato que na política de privacidade eles diziam que esses dados poderiam ser compartilhados com terceiros que, do modo que estava escrito, poderia ser basicamente qualquer um que eles bem entendessem.

E tem também toda a questão da mudança de política sem grandes alardes e tal e provavelmente outras coisas mais.

2 curtidas

Mas aí é que tá, na proposta que fizeram o programa continuaria funcionando offline, a menos que o usuário ative manualmente a verificação automática de atualizações ou opte por enviar um relatório de erros quando o programa travar.

Se o programa tiver sido compilado diretamente do código-fonte (a situação mais comum nas distribuições do Linux que disponibilizam o Audacity em seus repositórios), os recursos que dependem da rede nem sequer apareceriam no programa, a menos que tenham sido explicitamente ativadas no momento da compilação.

Limitaram a coleta de dados ao mínimo do mínimo necessário para implementar a checagem de atualizações, todas as opções são opt-in e o código-fonte é aberto pra qualquer um que queira auditar. Pra mim, pelo menos, não vi nada que justificasse todo esse alarde, talvez a política de privacidade Ctrl+C / Ctrl+V, mas que já prometeram arrumar…

Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.