CEOs de empresas automobilísticas respondem a perguntas difíceis sobre carros e privacidade... de certa forma
Por Jen Caltrider, Misha Rykov e Zoë MacDonald | 30 de Abril de 2024
Update May 14th: The FTC published a blog post putting connected car companies on notice for “unlawful collection & use” of consumers’ sensitive data.
- They warned car-makers to “take note” of three actions they’ve taken recently against other companies for abusing their access to sensitive data by sharing it or using it for decision-making without consumers’ consent.
The Federal Trade Commission (FTC) is in charge of protecting US consumers from deceptive on unfair business practices. So if there’s any agency that can hold US car-makers accountable for their terrible privacy practices, it’s them! This is definitely a step in the right direction for cars and privacy.
Você já ouviu o conselho: “Não responda à pergunta que lhe foi feita. Responda à pergunta que você gostaria que lhe fizessem"? Bem, parece que certos executivos de empresas automobilísticas dos Estados Unidos já ouviram.
Vamos retornar um pouco. No ano passado, levantamos a bandeira sobre carros e privacidade quando os chamamos de pior categoria de produto que já analisamos para privacidade. Embora o que descobrimos ao ler as políticas de privacidade dos carros fosse horrível, tínhamos mais preocupações sobre o que não conseguíamos encontrar. Nossa pesquisa nos deixou com muitas perguntas! Perguntas que as montadoras ignoraram quando perguntamos. Então, ficamos muito animados quando o senador americano Ed Markey acompanhou os CEOs das montadoras fazendo as mesmas perguntas que tínhamos feito, apontando nossa pesquisa como motivo de preocupação. Ele também prometeu publicar suas respostas, o que ele fez! Nós lemos essas 84 páginas para você. Mas, infelizmente, suas respostas foram bastante vagas, incompletas e desonestas como sempre. Aqui estão os destaques.
Nossa pesquisa mostrou que muitas montadoras dizem que podem vender seus dados pessoais. Mas eles fazem isso? Sim, eles absolutamente fazem.
O senador Markey perguntou:
Sua empresa vende, transfere, compartilha ou obtém benefícios comerciais de dados coletados de seus veículos para terceiros? Em caso afirmativo, quanto terceiros pagaram para a sua empresa em 2022 por esses dados?
Senador dos EUA, Ed Markey
A General Motors, uma das maiores montadoras dos EUA, disse:
Se um proprietário optar por Serviços Conectados, a GM poderá compartilhar dados coletados de Veículos com terceiros, conforme descrito em nossa Declaração de Privacidade de Serviços Conectados dos EUA. Por exemplo, os dados podem ser compartilhados para ajudar os socorristas a responder de forma mais rápida e precisa, para apoiar os serviços no veículo utilizados pelo proprietário e quando o proprietário instrui a GM a fazê-lo (como ajudar os proprietários a otimizar seus padrões de carregamento). Para os compartilhamentos de dados limitados em que há um benefício comercial atribuível diretamente ao compartilhamento de dados, o impacto na receita geral da GM em 2022 foi "de minimis".
Omar A. Vargas, vice-presidente de políticas públicas globais da General Motors
Até agora, você já deve ter ouvido falar que a GM vendeu dados pessoais de direção para corretores de dados que os usaram para criar "pontuações de risco" para companhias de seguros. Alguns motoristas só descobriram que isso estava acontecendo quando suas mensalidades dispararam. Eles não estavam felizes. Na verdade, causou tanta indignação entre os motoristas (incluindo uma ação coletiva!) que a GM teve que prometer parar (pelo menos no que diz respeito à venda desses dados específicos para esses corretores de dados específicos).
Portanto, é interessante que a GM não mencione sua relação com a LexisNexis ou a Verisk — as duas corretoras de dados em questão — em sua resposta ao senador. (É por isso que temos problemas de confiança quando se trata de declarações públicas das empresas sobre privacidade!) A GM também não compartilha que "aderir" poderia envolver um vendedor na concessionária aderindo em seu nome sem o seu conhecimento ou consentimento — e recebendo um bônus por isso. Cruzes.
Ah, e caso você esteja se perguntando, "de minimis" (como no impacto declarado na receita da GM) para qualquer (outra) pessoa que assumiu que era um erro de digitação, significa uma quantia pequena ou insignificante. O que é considerado insignificante para uma empresa bilionária? Foi relatado que estava na casa dos "milhões baixos". Não temos certeza se nos sentiríamos melhor ou pior se a GM ganhasse mais dinheiro com a venda de dados dos motoristas. Hmm... É melhor ser vendido por um centavo ou um dólar?
A Hyundai disse:
O Bluelink® oferece Pontuação de Condução e seguro baseado no uso (UBI), que é desenvolvido pela Verisk Insurance Solutions. Certos dados do veículo são transmitidos à Verisk apenas para proprietários de veículos inscritos na Pontuação de Condução, para que a Verisk possa gerar a Pontuação de Condução que não é compartilhada pela Hyundai com terceiros além da Verisk. Os motoristas atualmente inscritos na Pontuação de Condução também podem optar por participar separadamente para receber ofertas e informações sobre descontos no seguro do veículo e ofertas ou solicitar cotações de UBI das seguradoras participantes.
Robert R. Hood, vice-presidente de assuntos governamentais, Hyundai Motor
Então, a Hyundai menciona um relacionamento com a corretora de dados Verisk. E assim como a GM, eles dizem que o programa é apenas de adesão voluntária. Eles também dizem que os motoristas parceiros que optaram por participar podem desativar o compartilhamento de dados com a Verisk por meio de sua conta MyHyundai (caso alguém tenha optado por participar e não queira). Quanto ao que eles recebem em troca dos dados, "a Hyundai pode receber uma taxa por cliente em potencial para ofertas de desconto de seguro enviadas aos motoristas que optaram por receber essas ofertas e quando um motorista solicita uma cotação UBI de uma seguradora e expressamente autoriza e instrui a Verisk a fornecer seus dados UBI à seguradora".
No contexto da propriedade do veículo, a Toyota só vende (como esse termo é definido nas leis de privacidade aplicáveis, como a CCPA) informações pessoais dos consumidores em uma instância: a um terceiro que fornece um serviço de assinatura de rádio por satélite, a fim de oferecer aos consumidores uma avaliação gratuita do serviço de assinatura de rádio por satélite e para campanhas de marketing pós-teste relacionadas.
Stephen J. Ciccone, vice-presidente do grupo, Assuntos Governamentais
A Toyota é a única empresa automotiva que confirma que "vende" as informações pessoais dos consumidores — e, neste momento, estamos gratos pela honestidade. Eles dizem que vendem para um serviço de assinatura de rádio via satélite para que possam oferecer uma avaliação gratuita e comercializar seu serviço para você depois.
As empresas automobilísticas compartilham dados pessoais dos motoristas com as autoridades?
Todas as montadoras que pesquisamos disseram que podem compartilhar os dados dos motoristas com as autoridades em determinadas situações. Isso é verdade para praticamente qualquer empresa que tenha seus dados, mas o que gostamos de ver explicado na política de privacidade são os limites rígidos para esse compartilhamento e o compromisso de repelir solicitações excessivamente amplas. Isso é algo que não encontramos nas muitas políticas de privacidade dos carros. E isso nos preocupou, já que eles podem ter muitas de suas informações pessoais, incluindo sua geolocalização precisa, bem como dados de câmeras e microfones no carro.
O senador Markey perguntou:
Sua empresa já forneceu às autoridades informações pessoais coletadas por um veículo? Em caso afirmativo, identifique o número e os tipos de solicitações que as agências de aplicação da lei enviaram e o número de vezes que sua empresa cumpriu essas solicitações.
Senador dos EUA, Ed Markey
Veja o que as empresas automobilísticas (que se preocuparam em responder à pergunta) disseram sobre o número de solicitações de dados pessoais que recebem das autoridades:
A Volkswagen dividiu o número de solicitações por ano. Eles disseram que havia "menos de 20" em 2021, "menos de 25" em 2022 e "menos de 45" em 2023. Isso significa que os pedidos das autoridades dobraram nos últimos três anos. Interessante! A Hyundai e a Kia também compartilharam o número total de solicitações às quais responderam, que foi de 50 (86%) e 25 (83%), respectivamente. A Honda disse que não rastreia essas solicitações, mas adivinhou que recebe cerca de uma por mês. A Tesla disse que rastreia as solicitações, mas decidiu não compartilhar os números conosco. Eles também foram a única empresa automotiva a dizer abertamente que às vezes podem contestar ou rejeitar solicitações.
Você pode se lembrar que a política de privacidade da Hyundai disse que eles podem responder a uma "solicitação informal" de seus dados por parte das autoridades policiais ou do governo (caramba). Mas em sua resposta ao senador Markey, eles foram muito mais específicos, dizendo que a Hyundai só fornecerá dados em resposta a "circunstâncias exigentes, mandados de busca, consentimento do cliente e intimações". A maioria das respostas das montadoras foi mais rigorosa ou específica do que o que encontramos em suas políticas de privacidade no ano passado. Espero que isso signifique que eles também fizeram alterações em suas políticas oficiais, onde realmente conta. Pelo menos para a Hyundai, a menção à "solicitação informal" parece estar ausente da versão mais recente de sua política de privacidade, o que parece ser um bom começo!
Outra coisa que não encontramos nas declarações bastante vagas das empresas automotivas sobre o compartilhamento com a lei em suas políticas de privacidade é se elas avisam ou não os motoristas quando suas informações são compartilhadas.
O senador Markey perguntou:
Sua empresa notifica o proprietário do veículo quando ele atende a uma solicitação?
Senador dos EUA, Ed Markey
Nenhuma das montadoras que responderam a essa pergunta disse que tem uma política de informar os motoristas. A Hyundai chegou mais perto, dizendo que "a Hyundai se reserva o direito de notificar nossos clientes quando atender a tais solicitações", a menos que a notificação seja "explicitamente proibida pelo próprio processo legal. Isso é o mais generoso possível, o que não é ótimo.
A maioria das outras empresas automotivas disse que não está autorizada a informar os motoristas. Por exemplo, a Nissan disse que "quando a Nissan está respondendo a [um] processo obrigatório válido para fornecer dados do veículo do cliente, a Nissan está impedida de notificar um cliente de tais solicitações por estatuto ou ordem judicial". A BMW chegou a dizer que não contará ao proprietário do veículo, a menos que a lei o diga. "Se formos instruídos pelas autoridades a notificar o proprietário do veículo quando atendermos a uma solicitação, faremos isso." E isso parece bastante improvável de acontecer, uma vez que a GM disse que "a fiscalização ordena rotineiramente que a GM não notifique o proprietário do veículo".
No momento da nossa pesquisa do ano passado, as únicas marcas que pudemos confirmar que permitiriam que os clientes excluíssem suas informações pessoais eram duas marcas de automóveis europeias (Renault e Dacia) que têm que dar aos motoristas esse direito porque é a lei na UE, de acordo com a lei de privacidade GDPR.
O senador Markey perguntou:
Todos os usuários, independentemente de onde residam, podem solicitar a exclusão de seus dados? Em caso afirmativo, descreva o processo pelo qual um usuário pode excluir seus dados. Se não, por que não?
Senador dos EUA, Ed Markey
Toyota, Subaru, BMW, Tesla e Ford disseram que todos os motoristas nos EUA têm esse direito ou terão em breve. Bem, isso é novo e bom! Esperamos ver esse compromisso em suas políticas de privacidade — onde for importante. Até agora, a Toyota é a única empresa a oficializar essa promessa com uma mudança em sua política de privacidade.
Mas outras montadoras reforçaram sua posição, dizendo que não é possível se comprometer a excluir os dados de seus clientes ou que estão esperando por uma lei para forçá-los a isso. Sim, nós realmente não acreditamos nisso. E ei! Aqui está uma ideia. Fabricantes de automóveis, vocês estão oficialmente convidados a se juntar à nossa luta pela legislação federal de privacidade nos EUA. Até lá, que tal vocês aplicarem a lei estadual de privacidade mais rígida (geralmente, a CCPA da Califórnia) a todos os estados dos EUA? Dessa forma, vocês não precisam — assim como a Nissan se preocupa — recorrer a um "padrão arbitrário" temporariamente. Vocês conseguem!
A maioria (68%) das marcas de automóveis que pesquisamos ganhou um histórico ruim "notificação" por ter tido violações de dados, vazamentos ou ataques de hackers que ameaçaram a privacidade de seus clientes nos últimos três anos.
O senador Markey perguntou:
Sua empresa sofreu um vazamento, violação ou ataques de hackers nos últimos dez anos em
que os dados do usuário foram comprometidos? Em caso afirmativo, detalhe o(s) evento(s), incluindo a natureza do sistema da sua empresa que foi explorado, o tipo e o volume de dados afetados, e se e como sua empresa notificou seus usuários afetados.
Senador dos EUA, Ed Markey
A Volkswagen é a única empresa automotiva que respondeu "sim". E, mesmo assim, eles contaram apenas metade da história — reconhecendo uma grande violação em 2021, mas deixando de fora três outros incidentes de segurança e privacidade desde 2020.
Até mesmo a Kia, que teve que consertar oito milhões de carros por causa de uma vulnerabilidade de segurança que permitiu que eles fossem hackeados — resultando em centenas de roubos, 14 acidentes e oito mortes — mencionou apenas a segurança cibernética para descrever as "etapas importantes" que eles tomam, que são "projetadas para manter a confidencialidade, integridade e disponibilidade dos dados do veículo". Então, sim. Não estamos confiantes de que estamos obtendo as melhores respostas dessas empresas automobilísticas. (Nem o senador Markey e sua equipe.)
Parece que o tipo de resposta que esperávamos desses CEOs de montadoras provavelmente não chegará tão cedo. É engraçado (mas não é engraçado) que tantos dos fabricantes de carros responderam às perguntas do senador Markey dizendo para procurar respostas em suas políticas de privacidade... Uma vez que a leitura dessas políticas de privacidade nos fez levantar essas questões, tanto para nós quanto para o senador Markey, em primeiro lugar. “Uuuuu” em particular para BMW, Mazda, Mercedes-Benz, Stellantis (e em menor grau Ford, Kia, Subaru e Tesla) que responderam com argumentos que não abordavam cada uma das perguntas diretamente. Se estivéssemos classificando isso como lição de casa, todos vocês receberiam um "incompleto".
A boa notícia é que não precisamos esperar que as empresas automotivas sejam honestas conosco ou façam a coisa certa por conta própria. Desde que soamos o alarme sobre carros e privacidade em setembro passado, a mudança já está acontecendo:
- A Toyota e a Lexus agora concedem a todos os consumidores dos EUA o direito de excluir seus dados pessoais.
- Graças à pressão pública, a GM (que inclui Chevrolet, Buick, GMC e Cadillac) disse que vai parar de vender alguns dados do OnStar para as corretoras de dados LexisNexis e Verisk.
- A administração Bidden-Harris nos EUA está investigando a privacidade dos carros conectados devido a preocupações de segurança nacional.
- A FCC está propondo a aplicação da Lei de Conexões Seguras dos EUA aos carros, tornando mais difícil para os agressores domésticos perseguirem os sobreviventes usando os sistemas de rastreamento dos carros (um dos nossos pesadelos de privacidade).
- Os legisladores da Califórnia também propuseram um projeto de lei que faria com que as montadoras desconectassem o acesso remoto dos abusadores aos carros quando esse acesso estiver sendo usado para "perseguir, assediar, vigiar e intimidar os sobreviventes".
- Os senadores norte-americanos Markey e Wyden estão pedindo à FTC que tome medidas contra Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz e Kia — e seus executivos — por compartilhar os dados de localização dos motoristas com agências governamentais sem um mandado, violando os próprios "princípios de privacidade" do setor.
E até mesmo as respostas vagas das empresas automotivas são úteis para impulsionar mudanças. Como as respostas das empresas automobilísticas deram ao senador Markey “pouco conforto” e “ignoraram os riscos reais de privacidade que suas práticas de dados criam”, ele está pressionando a Comissão Federal de Comércio dos EUA (FTC), a agência federal encarregada de proteger os direitos dos consumidores, a investigar todas as práticas de privacidade das montadoras dos EUA. E não são apenas os legisladores dos EUA que estão prestando atenção. Os membros do Parlamento Europeu referiram-se à nossa pesquisa para sinalizar a falta de proteções de privacidade para os motoristas para a Comissão Europeia em três ocasiões. E outro MEP (membro do Parlamento Europeu) sugeriu recentemente que são necessárias mais leis para evitar que os carros sejam usados indevidamente para espionar os motoristas — mais uma vez, citando a nossa pesquisa. Adoramos ver isso! Você pode nos ajudar a manter a bola rolando.
Jen Caltrider
Enquanto me dedicava ao mestrado em Inteligência Artificial, deparei-me com uma experiência inesperada: minha verdadeira paixão estava em contar histórias, e não em escrever código. Essa revelação abriu as portas para uma carreira estimulante como jornalista especializada em tecnologia na CNN. Meu verdadeiro propósito sempre foi contribuir para um mundo melhor, e é por isso que lidero a iniciativa *Privacidade não incluída da Mozilla, onde nossa missão é garantir uma privacidade melhor para todos nós.
Misha Rykov
Misha, natural de Kiev e radicado em Berlim, possui experiência no setor de tecnologia e consultoria de segurança, e agora faz parte das iniciativas de privacidade da Mozilla. Ele é apaixonado por contar histórias investigativas e não suporta políticas de privacidade confusas. Misha é um defensor de regulamentações de privacidade mais fortes e inteligentes, além de lutar por uma internet mais segura.
Zoë MacDonald
Zoë é uma escritora e estrategista digital radicada em Toronto, no Canadá. Antes de sua paixão pelos direitos digitais levá-la à Mozilla e ao *Privacidade não incluída, ela escrevia sobre cibersegurança e comércio eletrônico. Quando não está imersa no universo da privacidade em seu trabalho, ela observa com cautela os dispositivos inteligentes em sua casa.
Jen Caltrider, Misha Rykov e Zoë MacDonald
Thanks to US Senator Markey, Car Brands Have to Answer to the FTC
From local news outlets, podcasts, and TV to... the FTC?! Citing our research, US Senator Markey calls for an investigation into cars and privacy.
Jen Caltrider, Misha Rykov e Zoë MacDonald
Jen Caltrider, Misha Rykov e Zoë MacDonald
