arrow_back Blog
product

Por Que Não Rastreamos Localização: Nossa Promessa de Privacidade

By I'm Okay Team ·

A maioria dos apps de segurança familiar rastreia localização. Nós não fazemos isso.

Essa é uma escolha deliberada, e ela define quase tudo sobre como o I’m Okay funciona. Somos questionados sobre isso constantemente — por usuários, por avaliadores, por potenciais compradores — então aqui está a resposta completa.

A promessa

O I’m Okay coleta duas coisas:

  1. Os endereços de e-mail dos contatos que você adiciona explicitamente (para que possamos notificá-los caso você não faça seu check-in)
  2. Os horários dos seus check-ins

Essa é a lista completa. Notavelmente ausente: qualquer informação sobre você como pessoa. O I’m Okay não exige cadastro — sem e-mail, sem senha, sem conta. O app identifica você por meio de um identificador anônimo por dispositivo. Não sabemos seu nome. Não temos seu e-mail. Por conta própria, não conseguimos vincular seus check-ins a uma identidade real.

Não coletamos:

  • Sua localização, em nenhum momento
  • Seus dados de saúde
  • Dados do acelerômetro, giroscópio ou outros sensores do seu celular
  • Seus contatos além dos 1 a 3 que você adiciona explicitamente
  • Seu histórico de navegação ou uso de aplicativos
  • Suas fotos, microfone ou câmera
  • Qualquer “análise de comportamento” ou “padrões de uso”

Se algum recurso exigisse que começássemos a coletar algo desta lista, simplesmente não o desenvolveríamos.

Por que isso importa

Há três razões pelas quais fizemos a escolha de não coletar dados, aproximadamente na ordem em que surgiram durante o processo de design.

1. A vigilância transforma o relacionamento

Um app de check-in diário ocupa um espaço emocional delicado: entre um pai ou mãe idoso e um filho adulto. O objetivo do app é justamente aliviar a ansiedade dos dois lados — a ansiedade do pai ou mãe que diz “quero manter minha independência” e a do filho que pensa “quero saber que estão bem”.

No momento em que o app começa a coletar mais do que o mínimo necessário, esse equilíbrio se rompe. O pai ou mãe passa a se sentir vigiado. O filho tem mais dados para interpretar obsessivamente. Em vez de proporcionar alívio, o app se torna uma nova fonte de inquietação.

Um app de check-in deveria tornar o relacionamento mais fácil, não mais vigiado. Isso só é possível quando o app coleta quase nada.

2. Dados que você não possui não podem ser usados de forma indevida

Cada byte de dado coletado por uma empresa representa uma responsabilidade futura. Vazamentos acontecem. Aquisições acontecem. Intimações judiciais acontecem. Erros internos acontecem.

Um estudo de 2022 realizado pela IBM e pela Ponemon revelou que o custo médio de uma violação de dados foi de US$ 4,35 milhões. Esse número só cresce. E o custo para a empresa não é a única métrica relevante — para os usuários, o custo de ter seus deslocamentos, dados de saúde e rotinas expostos em um vazamento é genuinamente prejudicial.

A defesa mais simples é: não coletar esses dados desde o início. Não podemos perder o que não temos. Não podemos ser intimados a entregar o que não temos. Não podemos ser tentados a monetizar o que não temos.

3. Não queremos o modelo de negócios que depende de dados

Quando uma empresa começa a coletar dados de usuários em grande escala, a pressão para monetizá-los se torna enorme. Mesmo empresas que começaram com boas intenções tendem a desviar do caminho. Dados de localização, em especial, têm enorme valor para anunciantes, varejistas e corretores de dados.

Não queremos fazer parte desse mercado. Queremos ser um produto pequeno e focado, com um modelo de assinatura sustentável: usuários que desejam recursos avançados podem assinar pelo App Store por uma mensalidade acessível (preços atuais no App Store), oferecemos um serviço útil, não operamos nenhum sistema de vigilância e não devemos nada a anunciantes.

Isso só é possível se nunca começarmos a coletar esses dados.

O que perdemos por não rastrear localização

A contrapartida é real. Sem dados de localização, o I’m Okay não consegue:

  • Informar se seu familiar está em casa ou saiu
  • Detectar se ele saiu de uma área incomum
  • Confirmar se ele chegou à consulta médica
  • Notificá-lo se ele ficou em um hospital por uma hora

Se você realmente precisa desses recursos, o Life360 e apps similares existem e os fazem bem. Não é nosso objetivo ser como eles.

O que o I’m Okay faz é responder à versão mais simples da pergunta “meu familiar está bem hoje?” — usando um toque diário como um sinal de sim ou não. É uma pergunta muito mais simples do que “onde está meu familiar agora?”, mas acaba sendo a que a maioria das famílias realmente quer ver respondida.

E quanto à “detecção de quedas” e recursos similares?

Já nos pediram para adicionar detecção de quedas, monitoramento do sono, monitoramento da frequência cardíaca e outros recursos baseados em sensores. Recusamos todos eles.

O raciocínio:

  • A detecção de quedas exige dados do acelerômetro, o que implica processamento contínuo em segundo plano e potenciais falsos positivos que corroem a confiança em todo o sistema.
  • O monitoramento do sono exige que o usuário use algum dispositivo ao dormir, algo que a maioria dos idosos independentes não fará de forma consistente.
  • O monitoramento da frequência cardíaca duplica o que um Apple Watch já faz para quem deseja esse recurso, e não agrega nenhum valor em um celular onde não é possível medir a frequência cardíaca com precisão.

Esses recursos parecem atrativos no texto de marketing, mas raramente funcionam bem na prática. Além disso, exigem mais coleta de dados, mais consumo de bateria e mais sensores — exatamente o que buscamos evitar.

Se você quer detecção de quedas, o Apple Watch é excelente. Se quer monitoramento do sono, existem apps dedicados para isso. O I’m Okay mantém o foco naquilo que faz bem: o check-in diário.

E quanto às análises? Vocês não precisam saber como as pessoas usam o app?

Um pouco. Utilizamos análises mínimas fornecidas pela própria Apple (anônimas, agregadas e com opção de desativação) para entender coisas como taxas de falhas e quais versões do sistema operacional precisamos suportar. Não usamos Google Analytics, Mixpanel, Amplitude, Facebook SDK nem nenhuma ferramenta de análise de terceiros no app.

O site de marketing (este site) utiliza o Google Analytics 4 para medir o tráfego, pois precisamos entender quais conteúdos são úteis. Ele está configurado para não coletar endereços IP nem nenhum dado identificável além das métricas agregadas padrão.

Esse é o mínimo necessário para operar. Tratamos isso como uma dívida — útil por ora, candidata a ser removida no futuro.

Nosso recurso “Just in Case” é o oposto da vigilância

Se você já usou o recurso Just in Case do I’m Okay, pode se perguntar como ele se encaixa em nossa postura de privacidade.

O Just in Case permite que você escreva uma mensagem privada que será enviada ao seu contato de confiança somente se você deixar de fazer check-in por um período prolongado (2, 3 ou 5 dias seguidos sem resposta, à sua escolha). É uma mensagem escrita por você, de forma opcional — como uma carta lacrada que só se abre sob uma condição específica.

Isso é o oposto da vigilância:

  • A mensagem é sua, escrita por você, e nunca lida por nós.
  • Ela é criptografada em repouso.
  • A condição de disparo é definida por você.
  • Você é notificado antes de qualquer mensagem ser enviada (para que possa cancelar caso esteja apenas de férias).

Esse tipo de recurso só é possível quando não realizamos vigilância em segundo plano — não há conflito porque nunca começamos a fazê-la.

Como tratamos os dados que de fato possuímos

As duas informações que armazenamos (e-mails dos contatos e horários dos check-ins) são:

  • Criptografadas em trânsito (HTTPS em todas as chamadas de API)
  • Criptografadas em repouso (criptografia em nível de banco de dados no nosso backend)
  • Nunca vendidas ou compartilhadas com terceiros para qualquer finalidade
  • Excluídas mediante solicitação em até 30 dias após um pedido de exclusão de dados (sem conta a encerrar, já que não há conta desde o início)
  • Não utilizadas para publicidade (não veiculamos anúncios)

Os dados são processados em infraestrutura de nuvem (AWS, neste caso), o que significa que nosso provedor de hospedagem tem acesso teórico a eles — assim como qualquer serviço web moderno. Não consideramos isso ideal, mas é um compromisso pragmático. Os dados são tão escassos que, mesmo que nosso banco de dados inteiro vazasse, o dano prático se limitaria ao envio de spam para os endereços de e-mail dos seus contatos.

O que esperamos mudar com isso

Somos um produto pequeno. Não esperamos transformar sozinhos a categoria de segurança familiar. Mas queremos demonstrar algo para outros desenvolvedores nesse espaço:

É possível criar um produto útil de segurança familiar sem coletar dados de localização, saúde ou comportamento. É possível mantê-lo com uma assinatura acessível. É possível lançá-lo sem um modelo de negócios de vigilância financiado por capital de risco.

Independentemente de outras empresas seguirem ou não esse caminho, este é o produto que queremos usar nós mesmos — e que esperamos que nossos próprios familiares também usem.

Perguntas frequentes

Vocês podem provar que não estão coletando dados de localização? Não em termos absolutos — para isso, seria necessário auditar nosso código e infraestrutura. Mas você pode verificar: o I’m Okay não solicita a permissão de Localização do iOS. O próprio iOS garante que um app não pode acessar a localização sem exibir o pop-up de permissão. Se quiséssemos começar a rastrear localização, teríamos que solicitar a permissão em um diálogo visível do sistema operacional. Portanto, no mínimo: enquanto você não ver esse diálogo, pode ter confiança de que nenhum dado de localização está sendo coletado.

E se vocês receberem uma intimação judicial? Cumpriríamos uma solicitação legal válida, como qualquer empresa com sede nos EUA é obrigada a fazer. Mas o que podemos fornecer se limita aos dados que possuímos: endereços de e-mail e horários de check-in. Não temos histórico de localização, nem lista de contatos (além dos 1 a 3 que você adicionou explicitamente), nem o conteúdo de mensagens (a mensagem do Just in Case é criptografada e não a armazenamos em texto simples).

Vocês algum dia adicionarão recursos de rastreamento? Não. A postura contra rastreamento está em nossos Termos de Serviço e consideraríamos uma mudança fundamental no produto qualquer desvio desse compromisso. Se você algum dia ver o I’m Okay adicionando rastreamento de localização, saúde ou comportamento, trate-o como um produto diferente.

E se vocês forem adquiridos? O mesmo compromisso com a minimização de dados precisaria ser mantido. Estruturamos isso como uma parte inegociável do produto, não como uma afirmação de marketing. Na prática, como simplesmente não temos esses dados, um eventual comprador não teria nada a monetizar, mesmo que quisesse.

A maioria dos usuários não quer mais recursos? Alguns querem. Fizemos as pazes com o fato de que o I’m Okay não é para eles. Existe um mercado real para apps familiares com vigilância intensa, e eles são bem financiados. Nosso foco é um público muito menor (mas real) — usuários e famílias que querem exatamente o oposto.

Acreditamos que a privacidade não é um recurso que se adiciona depois. É uma restrição inicial que define tudo o mais. O I’m Okay é o resultado de um app de check-in diário construído quando a privacidade é a restrição que vem em primeiro lugar.

Se isso faz sentido para você, adoraríamos que você experimentasse — gratuito para 1 contato, sem GPS, sem monitoramento.

#privacy#design philosophy#data minimalism

Related articles