CNN
—
Algumas das maiores empresas de preparação de impostos do país passaram anos compartilhando dados financeiros confidenciais dos americanos com titãs da tecnologia, incluindo Meta e Google, em uma possível violação da lei federal – dados que, em alguns casos, foram mal utilizados para publicidade direcionada, de acordo com um estudo de sete meses investigação do Congresso.
O relatório destaca o que os especialistas jurídicos descreveram à CNN como um “cinco alarme de incêndio” para a privacidade do contribuinte que pode levar a ações governamentais e privadas, penalidades criminais ou talvez até mesmo um “golpe mortal” para alguns gigantes da indústria envolvidos na investigação, incluindo TaxSlayer, H&R Block e TaxAct.
Usando a tecnologia de rastreamento de visitantes incorporada em seus sites, as três empresas de preparação de impostos supostamente enviaram dezenas de milhões de informações pessoais de americanos para a indústria de tecnologia sem consentimento ou divulgações apropriadas, de acordo com o relatório do Congresso analisado pela CNN.
Além dos dados pessoais comuns, como nomes de pessoas, números de telefone e endereços de e-mail, a lista de informações compartilhadas também incluía dados de contribuintes – detalhes sobre o status de declaração das pessoas, renda bruta ajustada, o tamanho de suas restituições de impostos e até informações sobre os botões e campos de texto eles clicaram enquanto preenchiam seus formulários de impostos, o que poderia revelar quais incentivos fiscais eles podem ter reivindicado ou quais programas governamentais eles usam, de acordo com o relatório.
O relatório, que se baseou em entrevistas do Congresso e depoimentos escritos da Meta, Google e empresas de preparação de impostos, também descobriu que todos os contribuintes que usaram o serviço IRS Free File da TaxAct enquanto o rastreamento estava ativado teriam suas informações compartilhadas com as empresas de tecnologia. Algumas das empresas de preparação de impostos ainda não sabem se os dados que compartilharam continuam sendo mantidos pelas plataformas de tecnologia, disse o relatório.
“Em uma escala de 1 a 10, isso é 15”, disse David Vladeck, professor de direito da Universidade de Georgetown e ex-chefe de proteção ao consumidor da Federal Trade Commission, o principal órgão fiscalizador de privacidade do país. “Isso é tão bom quanto qualquer violação de privacidade que já vi, exceto a exploração de crianças. Este é um incêndio de cinco alarmes, se o que sabemos sobre isso até agora for verdade.
É também um exemplo, disse Vladeck, de por que os Estados Unidos precisam de uma legislação federal que garanta a cada americano o direito básico à privacidade de dados – uma questão que perdura no Congresso há anos, apesar dos dados eletrônicos se tornarem uma parte cada vez maior da economia global.
As conclusões do Congresso representam as mais recentes alegações de irregularidades para atingir a indústria de preparação de impostos em apuros depois que um relatório do ano passado pelo jornal investigativo The Markup destacou a prática de rastreamento.
O relatório bombástico de quarta-feira se soma a essas revelações anteriores ao identificar uma categoria de dados não relatada anteriormente que supostamente estava sendo coletada e compartilhada: os títulos de páginas da web em softwares fiscais online que podem revelar quais formulários fiscais os usuários acessaram, disse um assessor da senadora democrata Elizabeth Warren , que ajudou a liderar a investigação do Congresso. Por exemplo, os contribuintes que inseriram informações sobre suas contribuições para poupança universitária ou renda de aluguel podem ter feito isso em páginas da Web com títulos que refletem essas informações, que seriam então compartilhadas com as empresas de tecnologia, disse o assessor.
Durante a investigação, a Meta disse aos investigadores que usou os dados do contribuinte que recebeu para direcionar anúncios de terceiros para usuários de sua plataforma e para treinar seus algoritmos de inteligência artificial, disse o relatório. O assessor de Warren disse à CNN que não estava claro se a Meta sabia que estava usando dados de contribuintes de forma inadequada na época. Um porta-voz da Meta disse que a empresa instrui seus parceiros a não usar suas ferramentas para compartilhar informações confidenciais e que os sistemas da Meta são “projetados para filtrar dados potencialmente confidenciais que são capazes de detectar”.
A tecnologia por trás da coleta de dados, conhecida como pixel de rastreamento, é comumente usada em toda a Internet. Um pequeno trecho de código que os proprietários de sites podem inserir em seus sites, os pixels de rastreamento coletam informações que podem ajudar as empresas, incluindo, entre outras, Meta e Google, a entender o comportamento ou os interesses dos visitantes do site.
Graças à tecnologia de rastreamento usada pela TaxAct, TaxSlayer e H&R Block, “cada contribuinte que usou seus sites para registrar seus impostos poderia ter pelo menos alguns de seus dados compartilhados”, disse o relatório.
As empresas de preparação de impostos no centro da investigação disseram aos legisladores que os dados coletados foram embaralhados para ajudar a proteger a privacidade, de acordo com o relatório. Mas o relatório também disse que algumas das próprias empresas de preparação de impostos não estavam totalmente cientes de quanta informação estava sendo exposta às plataformas de tecnologia, e o relatório citou pesquisas anteriores da FTC concluindo que mesmo dados “anonimizados” podem ser facilmente submetidos a engenharia reversa para identificar uma pessoa.
O uso dos pixels no contexto do contribuinte resultou no compartilhamento “imprudente” de dados legalmente protegidos que poderiam colocar os contribuintes em risco, de acordo com o relatório de Warren e seus colegas democratas Sens. Ron Wyden; Ricardo Blumenthal; Tammy Duckworth; e Sheldon Whitehouse; o senador Bernie Sanders, um independente que faz caucus com os democratas; e a deputada democrata Katie Porter.
A FTC, o Internal Revenue Service, o Departamento de Justiça e o Inspetor Geral do Tesouro para Administração Tributária “devem investigar completamente este assunto e processar qualquer empresa ou indivíduo que violou a lei”, escreveram os legisladores em uma carta datada de terça-feira às agências e obtiveram pela CNN. A FTC e o DOJ se recusaram a comentar; o IRS e o TIGTA não responderam imediatamente a um pedido de comentário.
Em comunicado, a H&R Block disse que leva a privacidade do cliente “muito a sério e tomamos medidas para impedir o compartilhamento de informações por meio de pixels”. O relatório de quarta-feira disse que H&R Block testemunhou o uso da tecnologia de rastreamento por “pelo menos alguns anos”.
TaxAct e TaxSlayer não responderam imediatamente a um pedido de comentário. O relatório disse que a TaxAct estava usando as ferramentas da Meta desde 2018 e as do Google desde 2014, enquanto a TaxSlayer começou a usar as ferramentas da Meta em 2018 e as do Google em 2011. A investigação descobriu que todas as três empresas de preparação de impostos interromperam o uso do pixel da Meta após o Markup relatório em novembro passado.
A Intuit, fabricante do TurboTax, recebeu uma carta inicial dos legisladores em dezembro, mas não foi o foco do relatório de quarta-feira porque a empresa não usou pixels de rastreamento da mesma forma, segundo a investigação.
As empresas de preparação de impostos enfrentaram crescente escrutínio nos últimos anos em meio a relatórios que muitos recorreram coleta de dados como um modelo de negócios e que os maiores entre eles gastaram milhões pressão contra a legislação que poderia tornar mais fácil para os americanos arquivar suas declarações fiscais. Um relatório do IRS deste ano constatou que 72% dos americanos estariam interessados em usar um serviço de declaração de impostos eletrônico gratuito se fosse fornecido pela agência como uma alternativa aos serviços privados de declaração de impostos online. O IRS planeja lançar uma versão piloto desse serviço para um número limitado de contribuintes na temporada de declaração de impostos de 2024.
O Google disse à CNN que proíbe clientes empresariais de enviar para sua plataforma dados confidenciais que possam ser rastreados até uma pessoa.
“Temos políticas rígidas e recursos técnicos que proíbem os clientes do Google Analytics de coletar dados que possam ser usados para identificar um indivíduo”, disse um porta-voz do Google. “Os proprietários do site – não o Google – estão no controle de quais informações eles coletam e devem informar seus usuários sobre como elas serão usadas. Além disso, o Google tem políticas rígidas contra publicidade para pessoas com base em informações confidenciais.”
O relatório de quarta-feira se concentra mais fortemente no uso de dados do contribuinte pela Meta, disse o assessor de Warren à CNN, porque o Google não parece ter usado as informações para seus próprios fins comerciais tão abertamente quanto o Meta e a investigação não foi capaz de determinar totalmente se o Google pode ter usado os dados para outras aplicações.
As alegações podem, no entanto, criar um grande risco legal tanto para as empresas de tecnologia quanto para as empresas de preparação de impostos, de acordo com especialistas jurídicos em impostos e privacidade.
As empresas de preparação de impostos podem enfrentar bilhões em multas de acordo com a lei tributária dos EUA se o governo federal decidir processar, disse Steven Rosenthal, membro sênior do Urban-Brookings Tax Policy Center. Além disso, o governo dos Estados Unidos pode buscar penalidades criminais.
“O escopo de ‘informações do contribuinte’ é amplo por definição”, disse Rosenthal, acrescentando que as empresas de preparação de impostos podem ser processadas por vazar essas informações “conscientemente” ou “imprudentemente”. “As empresas não deveriam compartilhá-lo de forma que terceiros possam obtê-lo.”
Teoricamente, disse ele, o código tributário também concede aos contribuintes individuais o direito de abrir processos privados contra as empresas de preparação de impostos. Mas a maioria, se não todas, essas empresas exigem que os clientes se submetam a uma arbitragem obrigatória, o que poderia, de forma realista, tornar a apresentação de uma reivindicação privada mais desafiadora, disse o assessor de Warren.
Além do código tributário, tanto os gigantes da tecnologia quanto as empresas de preparação de impostos também podem enfrentar responsabilidade civil da FTC – que pode policiar violações de dados e responsabilizar as empresas por seus compromissos com a privacidade do usuário – e potencialmente de governos estaduais que tenham suas próprias leis de privacidade nos livros, disse Vladeck.
Dependendo da força das alegações, as empresas de preparação de impostos podem ser rapidamente forçadas a um acordo vinculativo, disse um ex-funcionário da FTC que pediu anonimato para falar mais livremente.
“Se os fatos forem realmente fortes, essas empresas provavelmente prefeririam fazer um acordo a ir à Justiça. Isso é muito embaraçoso”, disse o ex-funcionário. “Pode ser um golpe mortal para as empresas de preparação de impostos.”