Los principales servicios de declaracion de impuestos como H&R Block, TaxAct y TaxSlayer han estado transmitiendo silenciosamente informacion financiera confidencial a Facebook cuando los estadounidenses presentan sus impuestos en linea, segun pudo saber The Markup.

Los datos, enviados a traves de un codigo ampliamente utilizado llamado Meta Pixel, incluyen no solo informacion como nombres y direcciones de correo electronico, sino tambien informacion incluso mas detallada, incluidos datos sobre los ingresos de los usuarios, el estado civil, los montos de los reembolsos y los montos de las becas universitarias de los dependientes. 

Este articulo fue coeditado con The Markup, una sala de redaccion sin fines de lucro que investiga como las instituciones poderosas estan usando la tecnologia para cambiar nuestra sociedad. Registrese aqui para recibir sus boletines.

La informacion enviada a Facebook puede ser utilizada por la empresa para impulsar sus algoritmos publicitarios y se recopila independientemente de si la persona que utiliza el servicio de declaracion de impuestos tiene una cuenta en Facebook u otras plataformas operadas por su propietario Meta. 

Cada ano, el Servicio de Impuestos Internos procesa alrededor de 150 millones de declaraciones individuales presentadas electronicamente, y algunos de los servicios de presentacion electronica mas utilizados emplean el pixel, descubrio The Markup

Cuando los usuarios se registran para declarar sus impuestos con el popular servicio TaxAct, por ejemplo, se les pide que proporcionen informacion personal para calcular sus devoluciones, incluido cuanto dinero ganan y sus inversiones. Un pixel en el sitio web de TaxAct luego envio algunos de esos datos a Facebook, incluido el estado civil de los usuarios, su ingreso bruto ajustado y el monto de su reembolso, segun una revision de The Markup. Los ingresos se redondearon al millar mas cercano y los reembolsos a la centena mas cercana. El pixel tambien enviaba los nombres de los dependientes en un formato ofuscado, pero generalmente reversible.

TaxAct, que dice que tiene alrededor de 3 millones de «usuarios consumidores y profesionales», tambien usa la herramienta de analisis de Google en su sitio web, y The Markup encontro datos financieros similares, pero no nombres, que se envian a Google a traves de su herramienta.

TaxAct no fue el unico servicio de declaracion de impuestos que utilizo Meta Pixel. El gigante de preparacion de impuestos H&R Block, que tambien ofrece una opcion de presentacion en linea que atrae a millones de clientes por ano, incrusto un pixel en su sitio que recopilaba informacion sobre el uso de la cuenta de ahorros para la salud de los contribuyentes y las becas y gastos de matricula universitaria de los dependientes.

TaxSlayer, otro servicio de archivo ampliamente utilizado, enviaba informacion personal a Facebook como parte del sistema de «coincidencia avanzada» de la empresa de redes sociales, que recopila informacion sobre los visitantes de la web en un intento de vincularlos a cuentas de Facebook. La informacion recopilada a traves del pixel en el sitio de TaxSlayer incluia numeros de telefono, el nombre del usuario que completaba el formulario y los nombres de los dependientes agregados a la declaracion. Al igual que con TaxAct, la informacion demografica especifica sobre un usuario estaba ofuscada, pero todavia se podia utilizar para que Facebook vinculara a un usuario con un perfil existente. TaxSlayer ha dicho que completo 10 millones de declaraciones de impuestos federales y estatales el ano pasado. 

El Markup tambien encontro el codigo de pixel en un sitio de preparacion de impuestos operado por una empresa de software y asesoramiento financiero llamada Ramsey Solutions, que utiliza una version del servicio de TaxSlayer. Ese pixel recopilo aun mas datos personales de una pagina de resumen de declaracion de impuestos, incluida informacion sobre ingresos y montos de reembolso. Esta informacion no se envio inmediatamente despues de visitar la pagina, sino solo cuando los visitantes hicieron clic en los encabezados desplegables para ver mas detalles de su informe. 

Incluso Intuit, la empresa que ejecuta el software de archivo en linea dominante de Estados Unidos, empleo el pixel. TurboTax de Intuit, sin embargo, no enviaba informacion financiera a Meta, sino nombres de usuario y la ultima vez que un dispositivo inicio sesion. La compania mantuvo el pixel completamente fuera de las paginas mas alla del inicio de sesion.

“Nos tomamos muy en serio la privacidad de los datos de nuestros clientes”, dijo Nicole Coburn, portavoz de TaxAct, en un correo electronico. “TaxAct, en todo momento, se esfuerza por cumplir con todas las regulaciones del IRS”. Angela Davied, vocera de H&R Block, dijo que la compania “evalua regularmente nuestras practicas como parte de nuestro compromiso continuo con la privacidad y revisara la informacion”.

Megan McConnell, portavoz de Ramsey Solutions, dijo en un correo electronico que la empresa “implemento Meta Pixel para brindar una experiencia de cliente mas personalizada”. 

“NO sabiamos y nunca se nos notifico que Facebook recopilaba informacion fiscal personal del Pixel”, dice el comunicado. “Tan pronto como nos enteramos, informamos de inmediato a TaxSlayer para que desactivara el Pixel de Ramsey SmartTax”. 

Despues de que The Markup se puso en contacto con TaxSlayer, la portavoz Molly Richardson dijo en un correo electronico que la empresa habia eliminado el pixel para evaluar su uso. “La privacidad de nuestros clientes es de suma importancia y nos tomamos muy en serio las preocupaciones sobre la informacion de nuestros clientes”, dijo, y agrego que Ramsey Solutions “tambien decidio eliminar el pixel”.

Rick Heineman, vocero de Intuit, dijo que el pixel de la compania “no rastrea, recopila ni comparte la informacion que los usuarios ingresan en TurboTax mientras declaran sus impuestos”, aunque Intuit “puede compartir cierta informacion que no es de declaracion de impuestos, como el nombre de usuario, con socios de marketing para brindar una mejor experiencia al cliente”, como no mostrar anuncios de Intuit en Facebook a las personas que ya tienen cuentas. La compania dijo que cumple con las regulaciones, pero modifico el pixel para que ya no envie nombres de usuario.

Mandi Matlock, profesora de la Facultad de Derecho de Harvard enfocada en la ley tributaria, dijo que los hallazgos de The Markup mostraron que los contribuyentes «proporcionan parte de la informacion mas confidencial que poseen, y esta siendo explotada».

El lunes, despues de que The Markup se pusiera en contacto con TaxAct para obtener comentarios, el sitio de la compania ya no enviaba detalles financieros como los ingresos y el monto del reembolso a Meta, pero continuo enviando los nombres de los dependientes. El sitio tambien continuo enviando informacion financiera a Google Analytics. Tambien a partir del lunes, TaxSlayer y Ramsey Solutions eliminaron el pixel de sus sitios de declaracion de impuestos y TurboTax dejo de enviar nombres de usuario a traves del pixel al iniciar sesion. El sitio de H&R Block continuaba enviando informacion sobre cuentas de ahorro para la salud y subvenciones para la matricula universitaria.

Como el Meta Pixel rastrea a los usuarios

Meta hace que el codigo del pixel este disponible gratuitamente para cualquier persona que lo desee, lo que permite a las empresas insertar el codigo en sus sitios como lo deseen. 

Usar el codigo ayuda tanto a Facebook como a las empresas. Cuando un cliente visita el sitio web de una empresa, el pixel puede registrar que articulos busco el cliente, por ejemplo, una camiseta. Luego, la empresa puede orientar sus anuncios en Facebook a las personas que miraron esa camiseta, lo que le permite encontrar una audiencia que ya puede estar interesada en sus productos.

Meta tambien gana financieramente. La compania dice que puede usar los datos que obtiene de herramientas como el pixel para potenciar sus algoritmos, brindandole informacion sobre los habitos de los usuarios en Internet. 

La estrategia ha sido exitosa para Facebook. En 2018, la compania le dijo al Congreso que habia mas de 2 millones de pixeles en la web, una operacion masiva de recopilacion de datos que la mayoria de los usuarios de Internet nunca ven. 

“La practica es omnipresente”, dijo Jon Callas, director de tecnologia de interes publico de Electronic Frontier Foundation, quien dijo que estaba “conmocionado pero no sorprendido” por los hallazgos  de The Markup .

Parte de la recopilacion de datos confidenciales analizada por The Markup parece estar vinculada a los comportamientos predeterminados del Meta Pixel, mientras que otra parte parece surgir de las personalizaciones realizadas por los servicios de declaracion de impuestos, alguien que actua en su nombre u otro software instalado en el sitio.

Por ejemplo, Meta Pixel recopilo informacion sobre cuentas de ahorro para la salud y gastos universitarios del sitio de H&R Block porque la informacion aparecia en los titulos de las paginas web y la configuracion estandar de Meta Pixel recopila automaticamente el titulo de una pagina que el usuario esta viendo, junto con la direccion web de la pagina y otros datos. Pudo recopilar informacion de ingresos de Ramsey Solutions porque la informacion aparecia en un resumen que se expandia al hacer clic. El pixel detecto el resumen como un boton y, en su configuracion predeterminada, el pixel recopila texto desde el interior de un boton en el que se hizo clic. 

Los pixeles incrustados por TaxSlayer y TaxAct usaban una funcion llamada «coincidencia avanzada automatica». Esa caracteristica escanea formularios en busca de campos que cree que contienen informacion de identificacion personal, como un numero de telefono, nombre, apellido o direccion de correo electronico, y luego envia la informacion detectada a Meta. En el sitio de TaxSlayer, esta funcion recopilaba numeros de telefono y los nombres de los contribuyentes y sus dependientes. En TaxAct, recopilo los nombres de los dependientes.

Los datos recopilados por la funcion de coincidencia se envian en una forma ofuscada conocida como hash, que segun Meta se utiliza para «ayudar a proteger la privacidad del usuario». Pero la empresa generalmente puede determinar la version ofuscada previamente de los datos. De hecho, Meta usa explicitamente la informacion codificada para vincular otros datos de pixeles a los perfiles de Facebook e Instagram. 

Esta funcion de pixel se desactivo de forma predeterminada cuando The Markup configuro un pixel de prueba adjunto a una cuenta comercial, pero se podia activar haciendo clic en un interruptor durante la configuracion.

Cuando TaxAct envio montos en dolares como ingresos brutos ajustados a Meta, se transmitieron como parametros a un «evento personalizado», que se envia solo si el pixel esta configurado mas alla de lo predeterminado por un operador de sitio web u otra aplicacion que el operador de sitio web agrega a su sitio. . TaxAct no respondio a las preguntas sobre si configuro el pixel de esta manera y por que.

Hay limites para los tipos de datos que Meta dice que recopilara a traves del pixel. La compania dice que no quiere que se le envie informacion confidencial, incluidos datos financieros, y que utiliza filtros automaticos para bloquear datos potencialmente confidenciales. Su centro de ayuda establece que prohibe el envio de informacion, incluidos numeros de cuentas bancarias o tarjetas de credito o «informacion sobre la cuenta o el estado financiero de una persona». 

Aun asi, un tipo especifico de datos prohibidos (ingresos) fue exactamente lo que dos sitios de impuestos enviaron a Facebook, encontro The Markup . Los datos enviados a Facebook por TaxAct sugieren que anteriormente tambien enviaba un parametro etiquetado como «student_loan_interest», que ahora se filtra por el pixel antes de enviarse.

De enero a julio de este ano, The Markup rastreo el uso del pixel por parte de los sitios web como parte de Pixel Hunt, una asociacion con Mozilla Rally. Para el proyecto, los usuarios participantes instalaron una extension de navegador que proporciono a The Markup una copia de todos los datos compartidos con Meta a traves del pixel.

El Markup inicialmente descubrio que los preparadores de impuestos compartian informacion confidencial a traves de los datos compartidos por los participantes de Pixel Hunt. Luego, Markup se registro para obtener cuentas en las aplicaciones web de las empresas y utilizo la seccion «Red» de Chrome DevTools, una herramienta integrada en el navegador Chrome de Google, para replicar y confirmar los datos.

A principios de este ano, con la ayuda de los participantes de Pixel Hunt, The Markup encontro datos confidenciales enviados a Facebook en el sitio web de solicitud de ayuda federal para estudiantes del Departamento de Educacion, sitios web de embarazos en crisis y sitios web de hospitales destacados. 

Meta recopila tantos datos que incluso la propia empresa a veces puede no saber donde termina. A principios de este ano, Vice informo sobre la filtracion de un documento de Facebook escrito por ingenieros de privacidad de Facebook que decian que la compania no «tenia un nivel adecuado de control y capacidad de explicacion sobre como nuestros sistemas usan los datos», lo que dificulta prometer que no usaria ciertos datos para determinados fines.

En ese momento, un portavoz de la compania le dijo a Vice que Facebook tiene «amplios procesos y controles para administrar datos y cumplir con las normas de privacidad».

En respuesta a las preguntas de The Markup sobre el uso del pixel en los sitios web de impuestos, Dale Hogan, un portavoz de Meta, senalo las reglas de la compania sobre informacion financiera confidencial. 

“Los anunciantes no deben enviar informacion confidencial sobre personas a traves de nuestras herramientas comerciales”, escribio Hogan en un comunicado enviado por correo electronico. “Hacerlo va en contra de nuestras politicas y educamos a los anunciantes sobre como configurar correctamente las herramientas comerciales para evitar que esto ocurra. Nuestro sistema esta disenado para filtrar datos potencialmente confidenciales que puede detectar”.

El portavoz de Google, Jackie Berte, dijo en un correo electronico que la empresa «tiene politicas estrictas contra la publicidad dirigida a personas en funcion de informacion confidencial» y que los datos de Google Analytics «estan ofuscados, lo que significa que no estan vinculados a un individuo y nuestras politicas prohiben que los clientes nos envien datos que podrian ser utilizados para identificar a un usuario.”

El IRS regula de cerca los datos fiscales

Nina Olson, directora ejecutiva del Center for Taxpayer Rights, una organizacion sin fines de lucro, fue la defensora nacional de los contribuyentes en el Servicio de Impuestos Internos entre 2001 y 2019, un puesto en la agencia destinado a representar los intereses de los contribuyentes. 

Como parte de su funcion en el IRS, contribuyo al desarrollo de regulaciones que rigen la divulgacion de informacion fiscal. Olson dijo que las regulaciones del IRS que controlan la forma en que los servicios privados de declaracion de impuestos pueden usar los datos son intencionalmente “muy fuertes”.

Segun las regulaciones que ella ayudo a desarrollar, los preparadores de impuestos, incluidas las empresas de presentacion electronica, pueden usar la informacion que reciben de los contribuyentes solo para fines limitados; para cualquier cosa mas alla de facilitar la presentacion inmediata, el preparador debe obtener el consentimiento firmado del usuario que explica el destinatario y la informacion precisa que se divulga.

El gobierno va tan lejos como para prescribir incluso el tamano de fuente de las solicitudes de divulgacion, diciendo que debe ser “del mismo tamano o mas grande que el cuerpo de texto normal o estandar utilizado por el sitio web o el paquete de software”.

,

Las sanciones por divulgar datos sin consentimiento son potencialmente elevadas: multas e incluso tiempo en la carcel son posibles, aunque Olson dijo que no estaba al tanto de ningun caso penal que se haya iniciado.

The Markup reviso los sitios web de preparacion de impuestos en busca de divulgaciones que mencionaran especificamente a Meta o Facebook, pero no los encontro. En cambio, algunas empresas incluyeron acuerdos de divulgacion relativamente amplios. 

TaxAct, por ejemplo, solicito a los usuarios que aprobaran el envio de su informacion fiscal a su empresa hermana, TaxSmart Research LLC, para que pudiera «desarrollar, ofrecer y proporcionar productos y servicios» para los usuarios. Tambien declaro: «TaxSmart Research LLC puede utilizar proveedores de servicios y socios comerciales para realizar estas tareas». H&R Block, mientras tanto, incluyo casi la misma solicitud de divulgacion para que «H&R Block Customize Services, LLC» pudiera proporcionar sus propios productos. Esos sitios brindaban al usuario la opcion de negarse a compartir informacion fiscal, aunque los datos se compartian con Facebook independientemente de la opcion que eligieran los usuarios, segun las pruebas de The Markup .

Cualquier divulgacion de un preparador de impuestos debe proporcionar el proposito exacto y el destinatario para cumplir, dijo Olson. «¿Tienen una lista que diga que van a divulgar los montos de los reembolsos, sus hijos y lo que sea en Facebook?» ella dijo. Si no, pueden estar en violacion de las regulaciones.

El IRS se nego a comentar o responder preguntas sobre si alguno de los sitios que compartian informacion fiscal violaba la ley fiscal.

Sin salida para los contribuyentes

Los contribuyentes estadounidenses tienen pocas opciones mas que recurrir a empresas privadas para presentar sus declaraciones.

A diferencia de otros paises, Estados Unidos tiene un sistema fuertemente privatizado para declarar impuestos, uno que a menudo requiere el uso de preparadores de impuestos externos. En otros paises, el gobierno maneja los calculos y los contribuyentes simplemente aprueban los numeros. Pero despues de un exitoso impulso de cabildeo por parte de empresas privadas, los preparadores de impuestos en los EE. UU. actuan efectivamente como intermediarios entre los contribuyentes y el gobierno.

La preparacion de impuestos ahora es un gran negocio: los investigadores de mercado han estimado que es una industria de mas de $ 11 mil millones en los Estados Unidos.

Existe una opcion de preparacion y presentacion gratuita, pero esta limitada a personas que ganan $73,000 o menos y puede ser dificil de usar. Las empresas ofrecen su software de impuestos sin cargo a traves de un acuerdo con el IRS, pero han sido criticadas por no hacer que la opcion este facilmente disponible.

Usando el pixel, The Markup descubrio que el IRS incluso dirige efectivamente a los contribuyentes que intentan presentar una declaracion de impuestos de forma gratuita a algunas de las empresas. Un punado de servicios de preparacion de impuestos, incluidos TaxAct y TaxSlayer, son parte del acuerdo, conocido como Free File Alliance. TurboTax y H&R Block han sido parte del programa en el pasado. 

Matlock de Harvard dijo que los hallazgos de The Markup mostraron las consecuencias casi inevitables de depender de empresas con fines de lucro para manejar un requisito del gobierno. Es un proceso que ofrece a los usuarios pocas opciones mas que entregar sus datos a Facebook si quieren cumplir con la ley, dijo.

“Es frustrante porque los contribuyentes han sido empujados a los brazos de estas empresas privadas con fines de lucro simplemente para cumplir con sus obligaciones de declaracion de impuestos”, dijo. “No tenemos otra opcion, realmente, en el asunto”.