Descrição de chapéu The Washington Post

O espião em sua carteira: cartões de crédito têm problemas de privacidade

Negócio dos cartões de crédito está em expansão em termos de anunciantes e de ajuda aos investidores

Geoffrey A. Fowler
San Francisco | The Washington Post

Recentemente, usei meu cartão de crédito para comprar uma banana. Depois, tentei compreender de que forma meu cartão permite que empresas me comprem.

Seria de imaginar que o pagamento de 29 centavos de dólar na Target ficaria entre meu banco e eu. De jeito nenhum. Minha banana gerou dados que provavelmente valem mais do que ela. Terminou nas mãos de anunciantes, da Target, Amazon, Google e fundos de hedge, para identificar apenas alguns dos destinatários.

Oh, os lugares a que a banana irá na ampla economia dos cartões de crédito. A despeito de uma lei federal de proteção à privacidade que cobre os cartões, descobri seis tipos de empresas com a capacidade de minerar e compartilhar elementos de minha compra, multiplicados inúmeras vezes por outras empresas às quais esses dados podem ter sido transferidos.

shutterstock cartoes cartao de credito
Cartões de crédito; padrões de gastos podem revelar muito —talvez o suficiente para permitir que uma pessoa seja chantageada - Shutterstock

Os cartões de crédito são espiões em sua carteira, e já é hora de acrescentarmos a privacidade às recompensas e taxas de juros, em nossos critérios para avaliá-los.

A Apple, buscando diversificação, começou a oferecer uma alternativa necessária. O melhor atributo do novo Apple Card é a privacidade (ainda que a mancada de estilo de seu acabamento em titânio branco tenha recebido mais atenção).

A Apple restringe a capacidade do banco parceiro, o Goldman Sachs, para vender ou compartilhar os dados de clientes com anunciantes. Mas o Apple Card, que opera na rede Mastercard, não introduz muita tecnologia nova para proteger os clientes contra as muitas outras partes com as mãos na gaveta do caixa.

Com meu teste da banana —duas bananas, uma adquirida com o popular cartão Chase Amazon Prime Rewards Visa e a outra com o Mastercard da Apple— a esperança era descobrir a vida secreta dos dados de meu cartão de crédito. Mas em um setor nebuloso, obtive sucesso apenas parcial.

Ao contrário de outras experiências recentes que realizei com tecnologia, como observar o que o meu iPhone faz enquanto durmo, eu não consegui invadir o sistema de segurança dos cartões para acompanhar o que acontece com os dados.

Em lugar disso, consultei pessoas informadas e defensores da privacidade para ajudar a identificar os tipos de empresas que se deram acesso ao meu uso do cartão para propósitos diferentes de pagamentos e prevenir fraudes. "Onde o processo termina? Ninguém sabe de fato", diz Ted Rossman, analista do site de comparação CreditCards.com.

Estudei com atenção as regras de privacidade das companhias. Depois pedi que mais de duas dúzias delas me fornecessem informações específicas sobre o que fazem de fato com os dados sobre nossas transações. O que exatamente elas compartilham, e com quem.

Algumas não responderam. Outros me encaminharam a um Triângulo das Bermudas de jargão jurídico do qual poucas respostas diretas escapam vivas. Em 2019, é difícil confiar em empresas que consideram que não nos devem informações claras sobre dados.

O que descobri: o negócio dos cartões de crédito está em expansão em termos de anunciantes, de ajuda aos investidores, e de auxiliar o varejo e os bancos a encorajar mais gastos. E há muitas maneiras de explorar o uso de um cartão que nem sempre requerem que uma transação seja "vendida" ou "compartilhada" de uma forma que identifique completamente o usuário.

Dados podem ser agregados, ter os identificadores removidos, ser codificados ou apresentados sob pseudônimo, ou usados de forma a tornar o portador do cartão alvo de campanhas de marketing sem que tecnicamente tenham mudado de mãos.

Qual é o mal? Contamos com proteção legal contra cobranças fraudulentas e práticas de empréstimo injustas. Mas os padrões de gastos podem revelar muito —talvez o suficiente para permitir que uma pessoa seja chantageada. A cada vez que dados são transferidos a um novo interessado, surge uma nova chance de que sejam roubados (um exemplo é o caso Equifax).

E os dados dos cartões certamente ajudam as empresas, e podem colocar os consumidores em desvantagem relativa.

"Quanto mais eles sabem que sabem sobre você, maiores as oportunidades de manipulação", diz Chris Hoofnagle, professor de direito e informação na Universidade da Califórnia em Berkeley.

Os dados podem ser usados para desenvolver modelos de comportamento, por exemplo calcular exatamente quantos aumentos de preços ou experiências horríveis um cliente aguenta antes de desistir.

As pessoas têm opiniões diferentes sobre se vale a pena trocar dados pessoais por milhas em companhias de aviação, ou descontos. Mas como é que podemos tomar decisões informadas quando não sabemos para onde nossos dados vão?

Assim, quem é que pode rastrear, minar ou compartilhar nossas transações? Em que o Apple Card ajuda? Vamos deslindar os seis tipos de companhias que ganham dinheiro com os meus dados —e não a preço de banana.
 
1. O banco
Quando uso cartões, é claro que meu banco recebe dados. O surpreendente é com quem ele tem o direito de compartilhá-los. Meus dados ajudam parceiros de marketing do Chase a me identificar, e a me enviar correspondência comercial não solicitada. Alguns deles chegaram até a gigante do varejo online Amazon, porque a bandeira dela está no meu cartão.

Os bancos há muito tempo têm o dever de reportar transações suspeitas ao governo. Mas a Lei Gramm-Leach-Bliley, de 1999, também permite que os bancos compartilhem com empresas dados que permitem a identificação pessoal de clientes. Eles só precisam enviar uma notificação de privacidade e lhes conferir o direito de optar por não participar. 

Quando uso meu Visa, as normas de privacidade do Chase reservam o direito do banco de usar meus dados por sete tipos diferentes de razão. A categoria mais chocante é "para que empresas não afiliadas encaminhem material de marketing a você". Quem são as "não afiliadas"? Quem quer que o banco deseje. O termo significa simplesmente uma empresa não controlada pelo Chase.

O Chase não quis me revelar que dados específicos de meu cartão eram compartilhados, ou com que empresas os compartilhava. Em lugar disso, a porta-voz Patricia Wexler apresentou uma lista dos tipos de dados que o banco não compartilha —entre os quais "dados personalizados sobre transações".

Mas isso deixa espaço para muitos usos. O Chase, por exemplo, autoriza que seus clientes recebam ofertas de empresas parceiras com base em seus hábitos de consumo.

É nisso que o Apple Card é diferente. Nas normas de privacidade do Goldman Sachs, a resposta à maior parte das formas de compartilhamento de dados é "não". O Goldman Sachs continua a compartilhar informações com agências de classificação de crédito caso o cliente não pague as contas. Mas diz que não presta informações sobre transações a anunciantes ou a uma companhia irmã que minere dados sobre cartões.

Os parceiros que emprestam suas marcas aos cartões também recebem dados quando você, por exemplo, compra coisas na Amazon com um cartão com a bandeira da empresa. E quanto a outras compras?

O Chase diz que compartilha informações com esses parceiros "apenas em alto nível —não detalhes específicos sobre o comerciante ou sobre os itens específicos comprados", mas Wexler se recusou a revelar detalhes.

A Amazon tampouco revelou exatamente o que recebe. (Jeff Bezos, o presidente-executivo da Amazon, é dono do The Washington Post.)

Como parceira principal, a Apple diz não ter acesso a dados sobre transações fora da Apple. Os detalhes das compras dos usuários que ficam visíveis no app de pagamentos são criptografados de forma a evitar que a Apple os veja.
 
2. A rede de cartões
É nessa categoria que a vantagem da Apple começa a desaparecer. Quando minha compra da banana passou pelas redes de cartões operadas pela Visa e Mastercard, qualquer uma delas poderia ter compartilhado dados —ainda que sem que minha identidade fosse revelada— com empresas que variam de serviços de turismo ao Google.

As redes, cujo principal negócio é conectar bancos, têm operações complementares que agregam compras e vendem as informações resultantes como "insights de dados". A Visa diz que permite que clientes vejam dados sobre populações de a partir de 50 pessoas, muitas vezes vinculadas a grupos em códigos postais específicos. A Mastercard não revelou o tamanho de seu grupo mínimo.

Um programa da Mastercard irrita especialmente os defensores da privacidade. A Bloomberg noticiou que dados sobre milhões de Mastercards —e que agora provavelmente incluem Apple Cards— terminam ajudando o Google a rastrear as vendas do varejo.

Os dados são inseridos em um sistema que oculta as identidades dos usuários mas permite que o gigante da Web vincule a publicidade que as pessoas veem às compras que fazem no mundo real. Uma pessoa informada sobre o assunto, que não tinha autorização para falar sobre ele, confirmou o esquema para mim.

As empresas não reconhecem o programa específico, mas enfatizam que a Mastercard remove as informações de identificação. Jim Issokson, porta-voz da Mastercard, diz que "a Mastercard não compartilha dados ou insights para fins de medição de publicidade com nenhum dos gigantes da tecnologia".

Anaik von der Weid, porta-voz do Google, disse que "desenvolvemos tecnologias avançadas de proteção da privacidade nessa área, exatamente para evitar o compartilhamento de informações pessoais".

3. A loja
Para a Target, meu cartão de crédito funciona como uma espécie de identidade —cada uso ajuda a construir um "perfil de convidado" a meu respeito. Isso é útil para que eles aprendam sobre meus hábitos, para que me encaminhem publicidade no Facebook, e para que compartilhem informações a meu respeito com terceiros. Não faz diferença que eu pague com o Chase Visa ou com o Apple Card.

A Target informa que não "vende" nossos dados. Mas suas normas de privacidade lhe conferem o direito de "compartilhar informações pessoais com outras empresas", que "podem usar a informação compartilhada para fazer ofertas especiais e informá-lo sobre oportunidades".

Que empresas são essas? Anunciantes? Empresas de dados? Outros grupos de varejo? Jenna Reck, porta-voz da Target, não quis responder.

O que a Target compartilha, especificamente? Isso "varia", diz Reck, acrescentando que "oferecemos informações agregadas e sem identificadores pessoais sempre que possível".
 
4. Sistemas de ponto de venda e bancos de varejo
A tecnologia que ajuda as lojas a nos rastrear muitas vezes vêm dos caixas usados para pagamentos com cartões e dos bancos que processam as transações realizadas neles. Essas empresas ganham acesso ao nome do usuário, número de seu cartão e outros detalhes, e muitas vezes se reservam o direito de compartilhar esses dados de alguma forma. O que alas fazem com eles?

É quanto a isso que a trilha de dados se torna especialmente turva. A Target não informa quem é o banco que processa suas transações, ou que restrições impõe a ele.

A Target tampouco informou que restrições quanto a dados aplica à VeriFone, a empresa que fabrica seus caixas. A companhia não respondeu a meus emails.

Uma experiência que você talvez tenha tido em um café mostra o que é possível. Você por acaso já usou seu cartão para fazer um pagamento em um terminal e descobriu que este já sabia o número de telefone ou email ao qual enviar o recibo? Isso acontece porque o sistema vinculou seu cartão a um perfil, e você forneceu esses detalhes antes.

A Square, uma das fabricantes de sistemas desse tipo, diz não "vender" os dados. Mas fornece os emails ou número de telefones que lhe damos para envio de recibos aos comerciantes. E compartilha dados agregados sobre compras com entidades como organizações setoriais.
 
5. Sistemas de pagamento móveis
Paguei por minhas bananas com cartões físicos, mas os sistemas de pagamento com smartphones introduzem ainda mais partes nas transações. Apps podem acessar e armazenar não só o que você compra mas também os lugares a que vai.

O Google Pay for Android armazena transações na conta do usuário no Google. O Google diz que não permite que anunciantes encaminhem publicidade ao usuário com base nesses dados.

Mas os controles de privacidade padrão do Google Pay, que podem ser ajustados, conferem ao sistema o direito de usar informações pessoais dos usuários para permitir que empresas do grupo Google lhes encaminhem publicidade.

O app Samsung Pay acumula detalhes sobre as últimas 20 transações do usuário, ainda que a companhia afirme que a informação não fica armazenada em seus servidores. O app também encaminha promoções com base em localização.

A Apple diz não reter informações sobre transações "que possam ser vinculadas ao usuário", quando este usa o Apple Pay.
 
6. Apps financeiros
Muitos serviços financeiros gratuitos na verdade estão atrás dos dados dos usuários. O Mint, da Intuit, que permite que o usuário acompanhe todas as suas contas em um só lugar, usa os dados para encaminhar publicidade a ele dentro do app.

A produtora de software financeiro Yodlee vende dados sobre clientes, com identificação pessoal removida, para empresas de pesquisa de mercado, varejo e investimento.

O email do usuário também pode servir como agente infiltrado. Sempre que ele recebe um recibo via Gmail, o Google adiciona a informação ao seu banco de dados de compras. O Google diz que não usa o conteúdo do Gmail para direcionar publicidade mas isso deixa outros usos em aberto.
 
7. Como cancelar a participação
Se o usuário se preocupa com privacidade, há medidas que pode tomar para proteger melhor sua vida como consumidor —mas não um caminho simples.

Talvez nem fosse necessário dizer, mas o usuário poderia fazer pagamentos em dinheiro. Isso não ajudaria caso ele prefira pagar com cartão de fidelidade —ou quando as empresas começarem a usar reconhecimento facial.

Planejo continuar usando o Apple Card, ainda que suas recompensas não  sejam tão boas quanto as de outros cartões. O contrato com o Goldman Sachs protege os clientes contra alguma medida de capitalismo de vigilância por parte do banco. O Apple Card tampouco funciona com apps enxeridos como o Mint —o usuário tem de acessar sua conta via app em seu iPhone.

Mas estou decepcionado por a Apple não ter desenvolvido novas tecnologias de privacidade para ajudar a contrabalançar todas as outras categorias de empresas que tiram vantagem de cada uso do cartão. Por exemplo, o cartão oferecido por uma startup chamada Privacy usa um número diferente para cada transação (online apenas), para evitar que o usuário seja rastreado com facilidade.

Por lei, as empresas de cartões de crédito precisam nos oferecer maneiras de cancelar algumas de suas práticas de compartilhamento de dados, ainda que o compartilhamento com outras empresas financeiras e parceiros de marketing em geral fique isento. O Chase e a American Express oferecem formulários online que o usuário pode preenche. No Citibank e no Discover, é preciso ligar para um número.

Formulários online também permitem que o usuário evite os programas de compartilhamento de dados do Visa e Mastercard. (Os portadores de Apple Cards precisarão fazer isso para reforçar sua privacidade.)
Há até lojas que oferecem a opção de cancelar o compartilhamento. A Target informa que o cliente pode ligar para um número e pedir para ser removido da lista de informações de marketing compartilhadas.

Muitas dessas empresas dizem que nos oferecer essas "escolhas" basta. Isso é besteira. Quando se trata de dados, o diabo está nas configurações padrão —as empresas sabem que o número de pessoas que mudam as configurações originais é ínfimo. E como podemos fazer uma escolha quando nem mesmo sabemos o que está acontecendo com nossos dados?

As recentes manchetes sobre o Facebook e a Equifax abriram muito mais olhos para o impacto imprevisto que invasões de privacidade podem ter em nossas vidas. Outras empresas deveriam tomar esses episódios como alerta: a proteção de dados é a nova responsabilidade social das empresas.

Se uma empresa deseja nossa confiança, já não basta dizer "nós cuidamos de sua privacidade" e apontar para alguns parágrafos de jargão jurídico como exemplo. É hora de jogar limpo.

Tradução de Paulo Migliacci

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.