0
0
Em um experimento de privacidade, compramos uma banana com o novo Apple Card – e outra com o Amazon Prime Rewards Visa da Chase. A seguir, rastreamos, extraímos e compartilhamos nossos dados.
Recentemente, usei meu cartão de crédito para comprar uma banana. Depois tentei descobrir como meu cartão de crédito permitia que as empresas me comprassem.
Você pode pensar que meu golpe de 29 centavos no Target seria apenas entre mim e meu banco. Céus, não. Minha banana gerou dados que provavelmente valem mais do que a própria banana. Acabou com profissionais de marketing, Target, Amazon, Google e fundos de hedge, para citar alguns.
Ah, os lugares que uma banana irá na economia de dados de cartões. Apesar de uma lei federal de privacidade cobrindo cartões, descobri que seis tipos de empresas poderiam explorar e compartilhar elementos de minha compra, multiplicados vezes não contadas por outras empresas às quais poderiam ter passado. Os cartões de crédito são um espião em sua carteira – e é hora de adicionar privacidade, além de recompensas e taxas, à forma como as avaliamos.
A Apple, partindo de gadgets, começou a oferecer uma alternativa necessária. O melhor atributo do novo Apple Card é a privacidade (embora a moda falsa de seu titânio branco tenha recebido mais atenção). A Apple impede o parceiro bancário Goldman Sachs de vender ou compartilhar seus dados com profissionais de marketing. Mas o Apple Card, que é executado na rede Mastercard, não introduz muitas tecnologias novas para protegê-lo de muitas outras mãos agarrando o caixa.
Com o meu teste de banana – duas bananas, uma comprada com o popular Chase Amazon Prime Rewards Visa e a outra com o Mastercard da Apple -, esperava descobrir a vida secreta dos dados do meu cartão de crédito. Mas nesta indústria sombria, eu tive apenas parcialmente sucesso. Ao contrário de outros experimentos tecnológicos recentes, como observar o que meu iPhone faz enquanto durmo, não consegui invadir meus cartões para seguir os dados.
Em vez disso, pedi informações privilegiadas e defensores da privacidade para ajudar a identificar os tipos de empresas que se deram acesso ao meu furto para fins não relacionados ao pagamento e à prevenção de fraudes. “Onde isso termina? Ninguém realmente sabe ”, diz Ted Rossman, analista do site de comparação CreditCards.com.
Analisei as políticas de privacidade dessas empresas. Depois, pedi a mais de duas dúzias para especificar o que eles realmente fazem com nossas transações. Quais dados eles estão compartilhando e com quem?
Alguns não responderam. Outros me enviaram a um triângulo legalista das Bermudas, onde poucas respostas diretas escaparam vivas. Em 2019, é difícil confiar em empresas que não pensam que nos devem clareza sobre dados.
O que aprendi: o negócio de dados de cartões está crescendo para os anunciantes, ajudando os investidores e ajudando os varejistas e os bancos a incentivar mais gastos. E há muitas maneiras de explorar um furto de cartão que nem sempre exige que uma transação seja “vendida” ou “compartilhada” de uma maneira que o identifique totalmente. Os dados podem ser agregados, anonimizados, com hash ou pseudonimizados (com um novo nome) ou usados para direcioná-lo sem precisar mudar tecnicamente as mãos.
Qual é o mal? Estamos legalmente protegidos de cobranças fraudulentas e práticas injustas de empréstimo. Mas os padrões de gastos podem revelar muitos – possivelmente o suficiente para chantagear você. Sempre que os dados são transferidos para novas mãos, há outra chance de serem roubados. (Testemunha: Equifax.)
E os dados do cartão certamente ajudam as empresas, mas podem colocar os consumidores em desvantagem relativa. “Quanto mais eles sabem sobre você, mais oportunidades existem para manipulação”, diz Chris Hoofnagle, professor de direito e informação da Universidade da Califórnia em Berkeley. Os dados podem ser usados para modelar comportamentos, como descobrir exatamente quantos aumentos de preços ou experiências terríveis que os clientes aguentarão antes de usar.
As pessoas podem ter opiniões diferentes sobre se vale a pena trocar dados por milhas aéreas ou devolver dinheiro. Mas como devemos tomar decisões informadas quando não sabemos para onde nossos dados estão indo?
Então, quem pode rastrear, explorar ou compartilhar suas transações? Onde o Apple Card ajuda? Vamos desvendar os seis tipos de empresas que me venderam. São bananas.
1) O banco
Quando passei meus cartões, é claro que meus bancos receberam dados. O que é surpreendente é com quem eles podem compartilhar. Meus dados ajudaram a me identificar com os parceiros de marketing de Chase, que me enviam lixo eletrônico. Alguns dados foram alimentados até a gigante do varejo Amazon, porque foi co-branded do meu cartão.
Há muito que os bancos são obrigados a relatar transações suspeitas ao governo. Mas a Lei Gramm-Leach-Bliley de 1999 também permite que os bancos compartilhem dados de identificação pessoal com as empresas. Eles apenas precisam enviar um aviso de privacidade e dar-lhe o direito de optar por não participar. (Mais sobre a opção abaixo.)
Quando usei meu visto, a declaração de privacidade de Chase se reserva o direito de compartilhar meus dados por sete tipos diferentes de razões. A categoria mais assustadora é: “Para não afiliados venderem para você.” Quem são “não afiliados?” Quem quer que o banco deseje. O termo significa apenas uma empresa não pertencente à Chase.
O Chase não me informou os dados específicos que compartilhou do meu cartão ou as empresas com quem o compartilhou. Em vez disso, a porta-voz Patricia Wexler listou os tipos de dados que Chase não compartilha – incluindo “dados personalizados no nível da transação”. Mas isso deixa espaço para muitos usos. O Chase, por exemplo, nos aceita receber ofertas de empresas parceiras com base em nossos hábitos de consumo.
É aqui que o Apple Card é diferente. Na declaração de privacidade do Goldman Sachs, sua resposta para a maioria dos tipos de compartilhamento é “não”. O Goldman ainda compartilha informações com agências de crédito sobre se você paga suas contas. Mas diz que não fornece transações a profissionais de marketing ou a uma empresa irmã que extrai os dados do cartão.
Os parceiros de cartão com marca conjunta também recebem uma parte da ação. É claro que a Amazon recebe dados quando você compra produtos na Amazon com seu cartão. E quanto a outras compras? A Chase diz que compartilha informações com parceiros de co-marca “apenas em um nível alto – não detalhes específicos sobre os quais o comerciante e nem itens específicos compraram”, mas a Wexler se recusou a ser específica. A Amazon também não diria exatamente o que recebe. (O executivo-chefe da Amazon, Jeff Bezos, é dono do The Washington Post.)
Como parceira de marca compartilhada, a Apple diz que não pode acessar dados sobre suas transações fora da Apple. Os detalhes de suas compras, visíveis no aplicativo Wallet, são criptografados para que a Apple não possa vê-los.
2) A rede do cartão
É aqui que a vantagem da Apple começa a diminuir. Depois que minha compra de banana passou para as redes de cartões administradas pela Visa e Mastercard, ambas poderiam tê-las compartilhado – de forma anônima – com empresas como agências de turismo, Google e muito mais.
As redes, cuja principal atividade é conectar bancos, fazem shows secundários ao agregar compras e vendê-las como “insights de dados”. A Visa disse que permite que os clientes vejam dados de populações de até 50 pessoas, geralmente vinculadas a grupos de códigos postais. A Mastercard não divulgaria seu tamanho mínimo de grupo.
Um programa Mastercard irrita particularmente os defensores da privacidade. A Bloomberg informou que os dados de milhões de Mastercards – agora provavelmente incluindo os Apple Cards – acabam ajudando o Google a acompanhar as vendas no varejo. Os dados entram em um sistema duplo-cego que permite que o gigante da Web vincule anúncios que as pessoas viram de volta às compras que fizeram no mundo real. Uma pessoa familiarizada com o assunto, que não estava autorizada a falar sobre isso, confirmou o acordo para mim.
As empresas não reconhecem o programa específico, mas enfatizam as informações identificáveis da Mastercard. O porta-voz da Mastercard, Jim Issokson, disse: “A Mastercard não está compartilhando dados ou informações para fins de medição de anúncios com nenhum dos gigantes da tecnologia.” A porta-voz do Google, Anaik von der Weid, disse: “Desenvolvemos tecnologia avançada de proteção de privacidade nesta área, precisamente para evitar o compartilhamento de informações pessoais “.
3) A loja
Para a Target, meu cartão de crédito agia como um tipo de identificação – cada furto ajuda a criar um “perfil de convidado” sobre mim. Isso é útil para aprender meus hábitos, me segmentar com anúncios no Facebook e compartilhar informações sobre mim com outras pessoas. Não fazia diferença se eu paguei com o Chase Visa ou o Apple Card.
A Target diz que não “vende” nossos dados. Mas sua política de privacidade concede o direito de “compartilhar suas informações pessoais com outras empresas” que “podem usar as informações que compartilhamos para fornecer ofertas e oportunidades especiais a você”.
Quem são essas empresas: profissionais de marketing? Corretores de dados? Outros varejistas? A porta-voz Jenna Reck não diria.
O que especificamente o Target compartilha? Isso “varia”, disse Reck, mas acrescentou: “Fornecemos informações agregadas e não identificadas sempre que possível”.
4) Sistemas de ponto de venda e bancos varejistas
A tecnologia que ajuda as lojas a nos rastrear geralmente vem de máquinas de furto de cartão e dos bancos comerciais que processam transações para elas. Essas empresas obtêm acesso ao seu nome, número do cartão e outros detalhes e geralmente reservam direitos para compartilhar dados de alguma forma. O que eles estão fazendo com isso?
É aqui que minha trilha de dados fica particularmente sombria. A Target não diria quem é o chamado banco adquirente ou que restrições ele impõe.
A Target também não informou quais restrições de dados impõe à empresa que fabrica seus terminais de furto, a Verifone. Essa empresa não respondeu aos meus e-mails.
Uma experiência que você pode ter em uma cafeteria mostra o que é possível. Você já passou o cartão e o terminal já sabe o número de telefone ou e-mail para enviar um recibo? Isso ocorre porque o sistema vinculou seu cartão a um perfil e você já ofereceu esses detalhes antes.
Square, uma fabricante desses sistemas, diz que não “vende” esses dados. Mas ele passa um e-mail ou número de telefone que inserimos para receber os recibos ao comerciante. E compartilha dados agregados sobre compras com organizações, incluindo grupos comerciais.
5) Carteiras móveis
Paguei minhas bananas com cartões físicos, mas os sistemas de pagamento por smartphone introduzem ainda mais mãos nas transações. Os aplicativos podem acessar e armazenar não apenas o que você compra, mas também aonde você vai.
O Google Pay para Android armazena transações na sua conta do Google. O Google diz que não permite que os anunciantes o segmentem com base nesses dados. Mas as configurações de privacidade padrão do Google Pay, que você pode ajustar, concedem direitos de usar suas informações pessoais para permitir que as empresas do Google comercializem para você.
O aplicativo Samsung Pay possui detalhes de suas 20 transações anteriores, embora a empresa diga que as informações não estão armazenadas em seus servidores. O aplicativo também oferece promoções baseadas em localização.
A Apple diz que não retém informações de transação “que podem ser vinculadas a você” quando você usa o Apple Pay.
6) Aplicativos financeiros
Muitos serviços financeiros gratuitos estão atrás dos seus dados. O Intuit’s Mint, que permite rastrear todas as suas contas em um só lugar, usa seus dados para comercializar para você em seu aplicativo. A fabricante de software financeiro Yodlee vende dados não identificados de clientes para empresas de pesquisa de mercado, varejistas e investidores.
Seu email também pode ser uma toupeira. Sempre que você recebe um recibo no Gmail, o Google o adiciona a um banco de dados de compras. O Google diz que não usa o conteúdo do Gmail para segmentar anúncios, mas isso deixa em aberto outros usos.
Optar por não participar
Se você se preocupa com a privacidade, há etapas que você pode tomar para proteger melhor sua vida como consumidor – mas é uma colcha de retalhos.
Talvez seja preciso dizer, mas você pode pagar em dinheiro. Isso não ajudará se você passar um cartão de fidelidade … ou quando as empresas começarem a usar o reconhecimento facial.
Pretendo continuar usando o Apple Card, mesmo que suas recompensas não sejam tão boas quanto os outros cartões. Seus contratos com o Goldman protegem você de algum capitalismo de vigilância bancária. O Apple Card também não funciona com aplicativos intrometidos como o Mint – você precisa acessar os detalhes da sua conta por meio do aplicativo no seu iPhone.
Mas estou decepcionado que a Apple não tenha criado novos tipos de tecnologia de privacidade para ajudar a neutralizar todas as outras categorias de empresas que usam cada golpe. Por exemplo, o cartão oferecido por uma startup chamada Privacidade usa um número diferente para cada transação (apenas online), para que você não possa ser rastreado com tanta facilidade.
Por lei, as empresas de cartão de crédito nos dão maneiras de optar por não compartilhar alguns de seus dados, embora o compartilhamento com outras instituições financeiras e parceiros de marketing conjunto seja geralmente isento. Chase e American Express têm formulários on-line que você pode preencher.
Por meio de formulários on-line, você também pode optar por não participar dos programas de compartilhamento de dados com Visa e Mastercard. Qualquer pessoa com um Apple Card precisará fazer isso para aumentar sua privacidade.
Mesmo algumas lojas oferecem uma saída. A Target diz que os clientes podem ligar e solicitar a remoção de informações compartilhadas para marketing.
Muitas dessas empresas dizem que nos dar essas “escolhas” é suficiente. Isso não faz sentido. Com os dados, o diabo está no padrão – as empresas sabem que um número extremamente pequeno de pessoas ajustará as configurações. E como podemos exercer uma escolha se nem sabemos o que está acontecendo com nossos dados?
As manchetes recentes sobre o Facebook e a Equifax abriram muito mais olhos para como a privacidade afeta nossas vidas de maneiras imprevistas. Outras empresas devem tomar isso como um aviso: os dados são a nova responsabilidade social corporativa.
Se uma empresa deseja nossa confiança, não é mais suficiente dizer: “Preocupamo-nos com a sua privacidade” e apontar para alguns juristas. Está na hora de ficar limpo.