Um proeminente especialista em direitos da privacidade está pedindo à Comissão Federal de Comércio (FTC, na sigla em inglês) que investigue um novo programa de publicidade do Google que vincula o comportamento online dos consumidores com suas compras em lojas físicas.
A reclamação legal do Centro de Informações de Privacidade Eletrônica (EPIC), que deve ser enviada hoje (31) à FTC, alega que o Google está obtendo acesso a uma variedade de informações altamente sensíveis – registros de compras de cartões de crédito e débito da maioria dos consumidores dos EUA – sem revelar como eles conseguiram essas informações ou oferecer aos consumidores formas claras para que optem por não cedê-las. Além disso, o grupo afirma que o gigante das buscas online está confiando em uma técnica secreta para proteger os dados – um método que deveria ser auditado por pessoas externas e que provavelmente está vulnerável a invasões ou outras violações de dados.
"O Google está tentando expandir seu domínio do mundo online para o mundo real e offline, e a FTC realmente precisa estar atenta a isso", disse Marc Rotenberg, diretor executivo da organização.
O Google chamou sua abordagem para a publicidade de "comum" e disse que "investiu na construção de uma nova tecnologia de criptografia personalizada que garante que os dados dos usuários permaneçam privados, seguros e anônimos".
Detalhes do programa, chamado Store Sales Measurement, foram revelados em maio. Os executivos o aclamaram como um avanço "revolucionário" nas habilidades dos anunciantes de acompanhar o comportamento do consumidor. A empresa disse que, pela primeira vez, seria capaz de provar, com um alto grau de confiança, que cliques em anúncios na Internet levam a compras no caixa de lojas físicas.
Para tanto, o Google disse ter obtido acesso aos registros de cartões de crédito e débito de 70% dos consumidores norte-americanos. A empresa desenvolveu uma fórmula matemática que os tornam anônimos e criptografa esses dados, e, em seguida, combina automaticamente as transações para os milhões de usuários dos serviços do Google – além da busca, outros como o Gmail, o YouTube e o Google Maps. Essa abordagem impediria o Google de acessar os dados individualizados das pessoas
Mas a empresa não divulgou a fórmula matemática que ela usa para proteger os dados dos clientes. Em nota, o Google disse que se esforçou para criar uma tecnologia de criptografia personalizada que garanta que os dados recebidos pela empresa permaneçam privados e anônimos.
Falhas no programa
A EPIC pede ao governo para não aceitar a palavra do Google e fazer uma análise independente do código. No pedido, a organização disse que a técnica matemática em que a iniciativa do Google Se baseia, chamada CryptDB, tem falhas de segurança conhecidas. Pesquisadores invadiram um banco de dados de planos de saúde protegido por CryptDB em 2015, obtendo mais de 50% dos registros armazenados.
O Google também não divulga quais empresas estão fornecendo os registros de transações. Quando perguntado se os usuários haviam consentido que suas transações de crédito e débito fossem compartilhadas, o Google não respondeu especificamente. A empresa se limitou a dizer que exige que seus parceiros não nominados tenham "os direitos necessários" para usar esses dados.
A EPIC alega que se os consumidores não souberem como o Google obtém seus dados de compras, eles não podem tomar uma decisão informada sobre quais cartões não usarem ou onde não fazer compras se eles não quiserem que elas sejam rastreadas. A organização aponta que as compras podem revelar condições médicas, crenças religiosas e outras informações íntimas.
O Google também disse que não tem acesso aos nomes ou outras informações pessoais dos usuários de cartões de crédito e débito e que não compartilha nenhuma informação sobre usuários individuais do Google com parceiros.
Os anunciantes recebem informações agregadas. Por exemplo, para uma campanha publicitária para um tênis que recebeu 10 mil cliques, o anunciante descobre que 12% dos usuários que clicaram no anúncio realizaram uma compra.
Os usuários podem sair desse sistema a qualquer momento, diz o Google. Para tanto, é preciso acessar a página “Minha atividade”, clicar em Controlos de atividade no menu dos três pontinhos e desmarcar o item "Atividade na Web e de apps", diz o Google.
O grupo diz que as configurações de exclusão e as descrições do que os usuários estão excluindo são confusas e opacas. O grupo diz que a empresa continua a armazenar dados de cliques em seus servidores mesmo quando a referida opção é desativada, e que, para excluir tudo, é necessário passar por um processo complexo em vários sites de terceiros. Enquanto isso, a exclusão do rastreamento de localização exige que se vá a outra lugar e clique em um botão diferente. Nenhuma das descrições de exclusão prevê, explicitamente, os dados de cartão de crédito.
Em 2012 e em 2011, o Google pagou multas de alguns milhões de dólares para liquidar as cobranças da FTC sobre questões de privacidade. No caso de 2012, que gerou uma multa de US$ 22,5 milhões, o Google foi considerado culpado por deturpar suas promessas de privacidade aos usuários do navegador Safari da Apple, que acreditaram que podiam optar por não estarem submetidos à exibição de anúncios exibidos por rastreamento. Em 2011, em resposta a um caso trazido pelo Electronic Privacy Information Centre, o Google aceitou uma reclamação da FTC de que teria usado táticas enganosas e violado suas próprias promessas de privacidade quando lançou a rede social Google Buzz.