Sites sem fins lucrativos estão rastreando visitantes, alguns chegando até a rastrear as teclas digitadas

No ano passado, quase 200 milhões de pessoas visitaram o site da Planned Parenthood, uma organização sem fins lucrativos à qual muitas pessoas recorrem para assuntos muito particulares, como educação sexual, acesso a contraceptivos e acesso a abortos. O que esses visitantes podem não saber é que, assim que abriram o siteplanparenthood.org, cerca de duas dúzias de rastreadores de anúncios embutidos no site alertaram uma série de empresas cujo negócio não é a liberdade reprodutiva, mas a coleta, venda e uso de dados de navegação.

O Markup executou o site da Planned Parenthood por meio de nossa ferramenta Blacklight e encontrou 28 rastreadores de anúncios e 40 cookies de terceiros rastreando visitantes, além dos chamados “gravadores de sessão” que poderiam capturar os movimentos do mouse e as teclas digitadas das pessoas que visitam a página inicial na pesquisa de coisas como informações sobre contraceptivos e abortos. O site também continha rastreadores que informavam ao Facebook e ao Google se os usuários visitavam o site.

A varredura do Markup encontrou o site da Planned Parenthood se comunicando com empresas como Oracle, Verizon, LiveRamp, TowerData e Quantcast – algumas das quais fizeram um negócio de montagem e venda de acesso a massas de dados digitais sobre os hábitos das pessoas.

Katie Skibinski, vice-presidente de produtos digitais da Planned Parenthood, disse que os dados coletados em seu site são “usados ​​apenas para fins internos pela Planned Parenthood e nossas afiliadas”, e a empresa não “vende” dados a terceiros.

“Embora tenhamos como objetivo usar dados para aprender como podemos ser mais impactantes, na Planned Parenthood, o aprendizado orientado a dados é sempre executado cuidadosamente com respeito à privacidade do paciente e do usuário”, disse Skibinski. “Isso significa usar plataformas de análise para coletar dados agregados para coletar insights e identificar tendências que nos ajudam a melhorar nossos programas digitais.”

Skibinski não contestou que a organização compartilha dados com terceiros, incluindo corretores de dados.

Uma varredura Blacklight da Planned Parenthood Gulf Coast – um site localizado especificamente para pessoas na região do Golfo, incluindo o Texas, onde o aborto foi essencialmente proibido – produziu resultados semelhantes.

A Planned Parenthood não está sozinha quando se trata de organizações sem fins lucrativos, algumas operando em áreas sensíveis como saúde mental e vícios, coletando e compartilhando dados sobre os visitantes do site.

Usando nossa ferramenta Blacklight, o The Markup escaneou mais de 23.000 sites de organizações sem fins lucrativos, incluindo aqueles pertencentes a provedores de aborto e centros de tratamento de dependências sem fins lucrativos. A Markup usou o arquivo mestre sem fins lucrativos do IRS para identificar organizações sem fins lucrativos que apresentaram uma declaração de imposto desde 2019 e que a agência classifica como focadas em áreas como saúde mental e intervenção em crises, direitos civis e pesquisa médica. Em seguida, examinamos o site de cada organização sem fins lucrativos conforme listado publicamente no GuideStar. Descobrimos que cerca de 86% deles tinham cookies de terceiros ou rastreamento de solicitações de rede. Em comparação, quando o The Markup fez uma pesquisa com os 80.000 principais sites em 2020, descobrimos que 87% usavam algum tipo de rastreamento de terceiros.

Cerca de 11% dos 23.856 sites sem fins lucrativos que verificamos tinham um pixel do Facebook incorporado, enquanto 18% usavam o recurso “Remarketing Audiences” do Google Analytics.

O Markup descobriu que 439 dos sites sem fins lucrativos carregavam scripts chamados gravadores de sessão, que podem monitorar os cliques e as teclas digitadas dos visitantes. Oitenta e nove deles eram para sites que pertenciam a organizações sem fins lucrativos que o IRS categoriza como focados principalmente em questões de saúde mental e intervenção em crises.

“Como usuário deste site, ao compartilhar suas informações com eles, você provavelmente não assume que essas informações confidenciais são compartilhadas com terceiros e definitivamente não assume que suas teclas são gravadas”, Gunes Acar, pesquisador de privacidade que co-publicou um estudo de 2017 sobre gravadores de sessão, disse. “Quanto mais sensível o site é, mais preocupado fico.”

Tracy Plevel, vice-presidente de desenvolvimento e relações com a comunidade da Gateway Rehab, uma das organizações sem fins lucrativos com gravadores de sessão em seu site, disse que a organização sem fins lucrativos usa rastreadores e gravadores de sessão porque precisa se manter competitiva com suas contrapartes maiores e com fins lucrativos.

“Como uma organização sem fins lucrativos, enfrentamos fornecedores com fins lucrativos com grandes orçamentos de publicidade, bem como corretores de tratamento de dependências que capturam aqueles que procuram atendimento com táticas de publicidade on-line semelhantes e os conectam ao fornecedor que oferece a maior compensação de 'vendas'. ”, disse Plevel. “Além disso, sabemos que a experiência do usuário tem um grande impacto no acompanhamento do tratamento. Quando alguém está pronto para se comprometer com o tratamento, precisamos garantir que seja o mais fácil possível para eles antes que fiquem frustrados ou intimidados pelo processo.”

Outras organizações sem fins lucrativos também tinham um número significativo de rastreadores incorporados em seus sites. A Markup encontrou 26 rastreadores de anúncios e 50 cookies de terceiros na The Clinic em Sharma-Crawford Attorneys at Law, uma clínica legal de Kansas City que representa pessoas de baixa renda que enfrentam deportação.

Rekha Sharma-Crawford, presidente do conselho da The Clinic, escreveu em uma declaração por e-mail: “Levamos muito a sério as preocupações com privacidade e segurança e continuaremos a trabalhar com nosso provedor da web para resolver os problemas que você identificou”.

A Save the Children, uma organização de ajuda humanitária fundada há mais de 100 anos, tinha 26 rastreadores de anúncios e 49 cookies de terceiros. A March of Dimes, uma organização sem fins lucrativos fundada pelo presidente Franklin D. Roosevelt que se concentra em cuidados maternos e infantis, tinha mais de 29 rastreadores de anúncios em seu site e 58 cookies de terceiros. City of Hope, um centro de pesquisa e tratamento de câncer da Califórnia, tinha 25 rastreadores de anúncios e 47 cookies de terceiros.

Paul Butcher, vice-presidente associado de estratégia digital global da Save the Children, disse em um comunicado por e-mail que a organização “leva a proteção de dados muito a sério”. Butcher também escreveu que a Save the Children coleta alguns dados por meio de rastreadores de anúncios “para melhorar a experiência do usuário” e que a organização está reformulando suas políticas de retenção de dados e recentemente contratou um novo chefe de dados.

March of Dimes e City of Hope não responderam aos pedidos de comentários.↩︎ link

Leis de privacidade em nível estadual Miss Nonprofits

Embora os dados de saúde sejam regidos pela HIPAA e a FERPA regule os registros educacionais, não há leis federais que regem como os sites rastreiam seus visitantes. Recentemente, alguns estados – Califórnia, Virgínia e Colorado – promulgaram leis de privacidade do consumidor que exigem que as empresas divulguem suas práticas de rastreamento e permitam que os visitantes desativem a coleta de dados.

Mas organizações sem fins lucrativos em dois desses estados, Califórnia e Virgínia, não precisam aderir aos regulamentos.

O senador Ron Wyden (D-OR), que propôs sua própria legislação federal de privacidade, disse que as organizações sem fins lucrativos acumulam uma grande quantidade de dados potencialmente confidenciais.

“As organizações sem fins lucrativos armazenam informações incrivelmente pessoais sobre coisas pelas quais somos apaixonados, desde causas políticas e visões sociais até as causas de caridade com as quais nos preocupamos”, disse Wyden em comunicado por e-mail. “Se uma violação de dados revelar que alguém doa para um grupo de apoio à violência doméstica ou uma organização de direitos LGBTQ ou o nome de sua mesquita, qualquer uma dessas informações pode ser incrivelmente privada”.

Líderes de organizações sem fins lucrativos, no entanto, argumentam que não têm infraestrutura e financiamento para cumprir os requisitos da lei de privacidade e devem coletar e compartilhar informações sobre doadores para sobreviver.

“Um dos usos mais substantivos e impactantes de dados por organizações sem fins lucrativos tem sido nossa captação de recursos”, disse Shannon McCracken, CEO da The Nonprofit Alliance, um grupo de advocacia formado por organizações sem fins lucrativos e empresas. “Sem a capacidade de alcançar de forma econômica novos doadores em potencial e doadores atuais, as organizações sem fins lucrativos não podem continuar a ter o impacto que têm hoje.”

Mas propositalmente ou não, dizem os especialistas em privacidade, as organizações sem fins lucrativos estão fornecendo informações pessoais a corretores de dados e gigantes da tecnologia como Facebook e Google.

“Uma organização sem fins lucrativos pode compartilhar seu número de telefone e nome com a LiveRamp. Amanhã, uma entidade com fins lucrativos pode reutilizar esses mesmos dados para atingir você”, disse Ashkan Soltani, especialista em privacidade e ex-chefe de tecnologia da Federal Trade Commission. “Os fluxos de dados que vão para esses agregadores e corretores de dados de terceiros geralmente também vêm de organizações sem fins lucrativos.”

Soltani, que foi nomeado diretor executivo da Agência de Proteção à Privacidade da Califórnia em 4 de outubro, ajudou a redigir a Lei de Privacidade do Consumidor da Califórnia, que foi originalmente introduzida com as isenções sem fins lucrativos.

Muitas grandes organizações sem fins lucrativos trabalham com corretores de dados para ajudar a organizar e analisar seus dados, disse Jan Masaoka, CEO da California Association of Nonprofits.

“As pessoas que têm grandes listas de doadores os usam extensivamente, praticamente todos usam um dos serviços”, disse Masaoka. “Eles não mantêm isso em casa, praticamente todo mundo mantém com um desses serviços.”

Ela observou que a Blackbaud é uma empresa à qual as organizações sem fins lucrativos costumam recorrer. O material de marketing do corretor de dados registrado promove um banco de dados cooperativo que combina dados de doadores de mais de 550 organizações sem fins lucrativos com informações públicas sobre milhões de famílias.

Blackbaud não respondeu a um pedido de comentário.

Devido à falta de fundos, as organizações sem fins lucrativos também contam com plataformas de terceiros – que também são corretores de dados – para gerenciar a segurança e a privacidade de seus dados, disse McCracken. Mas esses tipos de empresas também não são imunes a ataques cibernéticos: a Blackbaud divulgou um ataque de ransomware em 2020 no qual hackers roubaram senhas, números de seguro social e informações bancárias, de acordo com um arquivo da Securities and Exchange Commission. Centenas de organizações de caridade, escolas e hospitais foram afetados, juntamente com mais de 13 milhões de pessoas, de acordo com o Identity Theft Resource Center.

“Eles contam com esse tipo de ecossistema problemático para realizar seu trabalho e, como resultado, compartilham listas de números, endereços de e-mail ou comportamento de navegação com empresas de publicidade de terceiros e sujeitam seus membros a riscos”, disse Soltani.↩︎ link

A exceção

Ao contrário de seus antecessores na Califórnia e na Virgínia, a lei de privacidade do Colorado não tem isenção para organizações sem fins lucrativos.

Tanto na Califórnia quanto na Virgínia, os principais apoiadores dos projetos deram isenção às organizações sem fins lucrativos como manobra política. Alastair Mactaggart, incorporador imobiliário e fundador da Californians for Consumer Privacy, que foi a força motriz por trás da Lei de Privacidade do Consumidor da Califórnia, disse que sua proposta já enfrentava oposição de gigantes da tecnologia e não queria um confronto político com organizações sem fins lucrativos também.

“Você precisa dar o primeiro passo, então achamos que esse seria o mais fácil de se recuperar”, disse Mactaggart. “Eventualmente, espero que as grandes organizações sem fins lucrativos também sejam incluídas.”

David Marsden, o senador estadual que introduziu a Lei de Proteção de Dados do Consumidor da Virgínia, ecoou esse sentimento, refletindo que a lei não era perfeita, mas ainda assim era um bom começo.

“Isso pega todo mundo que deveria, ou isenta todo mundo que precisa de uma isenção? Provavelmente não, mas chega bem perto”, disse Marsden. “Conseguimos, com este projeto, aprová-lo sem que as pessoas se levantassem e se opusessem ao que estávamos tentando fazer.”

O senador estadual do Colorado, Robert Rodriguez, que co-patrocinou o projeto de lei de privacidade do estado, disse que não incluiu uma isenção para organizações sem fins lucrativos porque achava que qualquer entidade que tivesse dados sobre mais de 100.000 pessoas deveria seguir as proteções de privacidade. Ele também não entendia por que outros estados tinham isenções.

“Alguém que tem mais de 100.000 registros tem um bom tamanho”, disse ele em um e-mail. “Eles devem ter algumas proteções ou requisitos a seguir.”

Nota do Editor: Este artigo foi publicado originalmente no The Markup por Alfred NG e Maddy Varner, e foi republicado sob a licença Creative Commons Attribution-NonCommercial-NoDerivatives .

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• A Apple rejeitará seu aplicativo se ele contiver rastreadores de terceiros que coletam dados sem consentimento
• Como impedir que seu Android forneça seu identificador exclusivo a rastreadores de terceiros
• Como impedir que seu iPhone forneça seu identificador exclusivo a rastreadores de terceiros
• Mozilla Firefox agora oferece um novo recurso projetado para combater rastreadores