O big brother no seu bolso: explicamos o sistema de pontuação por reputação da TeleSign
E se houvesse um sistema oculto te rastreando e te dando uma pontuação baseada em cada chamada telefônica que você fizesse? Isso pode até parecer ter saído de um episódio de Black Mirror ou lembrar o controverso sistema de crédito social da China mas, para a sua surpresa, metade dos usuários de celulares do mundo já fazem parte de um sistema assim. Inclusive, muitos deles estão na Europa, um lugar que, em teoria, conseguiria oferecer fortes regulamentações de proteção à privacidade.
Como a criação de perfis comportamentais funciona e por que ela é problemática
A NOYB, um grupo de advogados que defendem a privacidade, iniciou um processo contra a empresa estadounidense TeleSign, o provedor de telecomunicações belga BICS e a empresa que deu origem a ele, Proximus. Eles afirmam que estas empresas não estão autorizadas a criar perfis comportamentais de bilhões de usuários de celulares para dar-lhes uma ”reputação” e uma pontuação de “confiabilidade”.
Esta pontuação pode afetar o seu acesso à serviços online. Se ela for ruim, você pode ter o acesso bloqueado a várias plataformas, ou estar sujeito a checagens adicionais, às quais não estão sujeitos os usuários com uma pontuação melhor. Estas restrições são impostas pelos parceiros da TeleSign, que supostamente incluem a Microsoft, o TikTok, o Skype, o LinkedIn e a SalesForce. Mas quem são o BICS e a TeleSign e o que eles fazem exatamente?
O BICS é um gigante das telecomunicações belga que conecta as redes móveis de provedores em mais de 190 países. Ao fazer isso, o BICS ganha acesso às informações pessoais de bilhões de clientes. O BICS fica sabendo a frequência com a quals as pessoas realizam chamadas, a duração destas chamadas, quanto tempo ficam sem usar os seus celulares, onde elas estão, quando recebem ligações e de quem. Estes dados são então compartilhados com a TeleSign, que dá “pontos de reputação” para números de telefones e vende estes dados como uma ferramenta de prevenção de fraudes chamada “Intelligence API”. A cada mês, segundo a TeleSign, a empresa “verifica mais de 5 bilhões de números de celular,” o que representa “metade dos usuários mobile do mundo” e “dá insights importantes sobre os outros bilhões”.
O problema? Os usuários de celulares que confiam suas informações pessoais aos operadores mobile não têm ideia de isso está acontecendo.
O processo aponta para o fato de que o sistema é problemático também porque a TeleSign é obrigada a respeitar as leis de vigilância dos EUA, o que significa que o governo estadounidense tem acesso a estes dados. Enviar dados pessoais da Europa pelo oceano atlântico é tecnicamente ilegal sem um tratado válido de transferência de dados entre a União Europeia e os EUA. O antigo acordo, chamado de Privacy Shield, foi cancelado em 2020 em partes porque os EUA foram considerados intrusivos demais e as leis de proteção de privacidade de lá não estavam alinhadas com o padrão do GDPR na UE.
O resultado foi um vácuo legal que deixou muitas big techs como a Meta diante de várias multas por continuar a transferir dados de usuários europeus aos EUA. No começo de julho, os EUA e a UE finalmente combinaram os detalhes de um outro acordo que funcionaria como substituto, mas ele ainda é incerto, já que pode encontrar desafios jurídicos.
Que dados a TeleSign acessa para determinar os pontos de reputação?
Em seu site, a TeleSign afirma que a pontuação por reputação é dependente de vários fatores, mas a metodologia exata é de sua propriedade. Entre todos os dados que a TeleSign utiliza, estão incluídos números de telefone e analytics, dados de organizações que permitem identificar se um número pertence ou não a um golpista, padrões de uso de celulares, frequência de uso (que também pode indicar fraudes se estiver sendo usada de poucos em poucos minutos, por exemplo) e previsões de machine learning.
Como a metodologia é de posse da empresa, não há como saber quais desses detalhes podem influenciar positiva ou negativamente na pontuação final. Os usuários podem pedir uma cópia de seus dados à TeleSign e, alguns deles descobriram ter recebido uma avaliação de risco “de média a baixa”.
Por mais que os usuários possam obter seus dados da TeleSign, os operadores mobile parecem não saber que os dados de seus clientes estão sendo enviados para a empresa, de acordo com o NOYB.
Assim, em resumo, o seu acesso a um serviço online em particular pode estar bloqueado devido a um sistema de pontuação obscuro, operado por uma empresa privada, que te dá ou tira pontos com base em critérios arbitrários e que opera de maneira secreta sem o seu conhecimento.
Base legal: o que dizem o BICS e a Telesign?
O GDPR lista seis bases legais para o processamento de dados pessoais, mais especificamente o consentimento, o contrato, interesses vitais, dever público e interesses legítimos. Estes últimos são os mais flexíveis e permitem que empresas usem dados sem pedir o consentimento dos usuários diretamente. Por exemplo, a OpenAI usa “interesses legítimos” como desculpa para coletar e usar informações pessoais disponíveis ao público para treinar modelos de IA como o GPT, a base do ChatGPT. Esta justificativa é altamente questionável, e o hábito da OpenAI de coletar informações pessoais e outros dados da web gerou vários processos, acusando a empresa de se beneficiar de violações de privacidade.
O BICS e a TeleSign afirmam que seus "interesses legítimos" incluem a detecção ou a prevenção de fraudes como a base legal de seu processamento de dados.
Fonte: Política de privacidade da TeleSign
Em entrevista ao jornal belga Le Soir no ano passado, a Proximus, dona tanto do BICS quanto da TeleSign, afirmou transferir todos os dados por “criptografia de ponta a ponta” e que os números de telefone “são mascarados para impedir a identificação individual.” Quando se trata dos riscos de privacidade envolvidos na transferência de dados do Brasil para os EUA (que ainda não têm uma lei de privacidade), a empresa afirma que “tomou medidas adicionais para prevenir a identificação de indivíduos caso os dados acabem nas mãos das autoridades ou vazados.” No entanto, os métodos usados por essas empresas para que os dados não caiam em mãos erradas ainda não são conhecidos.
O processo alega que as atividades do BICS e da TeleSign vão além da prevenção de fraudes e são desproporcionais aos riscos, sendo voltados apenas para o lucro. O BICS jamais informou os usuários sobre o processamento de dados, o que potencialmente viola o seu dever de transparência de acordo com o artigo 14 do GDPR.
Isso te lembra de algo?
O que o sistema da TeleSign faz é basicamente a avaliação de sua reputação ou, em outras palavras, da sua confiabilidade com base em seu comportamento ao usar o seu celular. Até certo ponto, este sistema é parecido com o sistema de créditos sociais da China, já que ambos avaliam a confiabilidade com base em dados comportamentais. Isso por si só poderia servir de alerta para os usuários preocupados com privacidade.
É claro que esta comparação entre a TeleSign, o BICS e o governo chinês é um pouco exagerada. Isso porque, em primeiro lugar, o sistema de créditos sociais da China é uma política governamental e não um produto comercial. Em segundo lugar, o alcance destas políticas é desproporcional, já que o sistema chinês prevê o rastreamento de comportamentos tanto online, quanto offline.
Como este sistema pode te afetar
Apesar das garantias da Proximus, do BICS e da TeleSign, seus dados não estão seguros com eles. Existe o óbvio risco de processamento de dados nos EUA, onde as leis de proteção de dados são fracas. Além disso, as garantias de segurança propostas no novo acordo de transferência de dados entre os EUA e a União Europeia ainda enfrentarão um desafio legal. Os dados coletados também podem acabar expostos por um vazamento, levando ao roubo de identidade. Além disso, talvez o mais preocupante disso tudo seja a possibilidade de que serviços sejam negados aos usuários com base em sua pontuação de reputação, calculada sem o seu conhecimento ou consentimento, sem possibilidade de correção ou exclusão dos dados simplimente porque não se sabe sobre a sua existência.
O que você pode fazer?
Graças à exposição que o NOYB deu a esta prática, mais e mais pessoas ficarão sabendo sobre ela e exigirão o seu direito de solicitar, retificar e deletar seus dados da TeleSign. Isso pode ser feito através de um formulário no site da TeleSign. De acordo com a sua política de privacidade, é possível optar por não ter os dados usados vendidos e compartilhados, incluso para o propósito de criação de perfis.
Fonte: TeleSign privacy policy
Para evitar que o seu perfil seja criado pela TeleSign ou por empresas semelhantes, recomendamos o uso de números de celular diferentes para situações diferentes ou o uso de um número virtual no lugar de seu número real para o registro em serviços online. Por exemplo, se o seu trabalho envolve muitas ligações, é melhor ter um celular separado apenas para ele. Assim, você não será confundido com um golpista e não terá o acesso negado a certos serviços.
Além disso, é importante estar ciente das leis de proteção de dados de que você pode se beneficiar, como a solicitação dos dados que as empresas têm sobre você e o pedido para que sejam deletados. Você também pode adotar outras medidas de proteção de privacidade, incluindo o uso de uma VPN, a diminuição na quantidade de dados compartilhados online e um maior cuidado com as permissões dadas a aplicativos. Estas medidas não impedirão diretamente que o seu perfil seja criado com base no uso de seu celular, mas adicionarão uma camada extra de privacidade durante a sua navegação na internet.
