Feitos para levar e trazer as pessoas, os carros ficaram turbinados e conectados a ponto de hoje serem computadores sob rodas. Mas essa tecnologia não deixa o motorista impune. A cobrança? Vem em forma de dados coletados e vendidos às escondidas. Um estudo recente mostrou que quatro a cada cinco veículos revendidos em concessionárias de seminovos na Alemanha, Reino Unido e Itália, ainda armazenam dados pessoais de seus antigos donos.
Conduzida pela Privacy4Cars, empresa de tecnologia especializada em privacidade de dados na indústria automotiva, a pesquisa identificou que registros de localização, endereços residenciais, chamadas e mensagens de texto permanecem acessíveis em carros de 40 lojas – de um total de 46. Dentre as concessionárias ouvidas, 35 afirmam que sempre apagam dados dos antigos proprietários.
Ao todo, os investigadores encontraram informações pessoais em 40 dos 70 test drives realizados. Essa prática infringe a GDPR (Regulamento Geral da Proteção de Dados da União Europeia), que estabelece a garantia e a segurança e exclusão adequados de dados pessoais quando não são mais necessários.
“Os dados dos carros vêm de duas fontes: a primeira são os sensores dentro do veículo”, diz Andrea Amico, especialista em privacidade e segurança de dados veiculares e fundador da Privacy4Cars, em entrevista ao Estadão. “E a quantidade de sensores nos carros determina quais dados são coletados e a quantidade de dados coletados. Esses dois números seguem crescendo a cada ano, o significa que há mais dados e muito mais informações nesses dados”.
Leia também
Para entender quais os riscos a falta de exclusão de dados provocam, o estudo divulgou (sem citar nomes) casos reais que encontrou nos veículos. Em um deles, no qual o antigo proprietário era um ator famoso, havia códigos de acesso do portão e da porta de sua mansão. Enquanto isso, o antigo carro de um executivo de banco, havia dados financeiros sensíveis e credenciais de login ao sistema da instituição no qual trabalha.
Essa variedade e quantidade de informações absorvidas pelos carros também aumentam porque quase qualquer veículo tem sistemas que facilitam a conexão com o celular, que por sua vez também carrega todas essas informações, explica Amico. “Hoje em dia, os carros podem acessar quais aplicativos você está executando no telefone, que tipo telefone possui, o que está no seu calendário, os detalhes completos das suas mensagens de texto, seus pagamentos”, diz. “Isso é literalmente como se houvesse um pequeno clone do seu telefone dentro do carro”.
Outros dois exemplos que o levantamento identificou foram de um veículo de um representante farmacêutico que continha endereços e informações de pacientes envolvidos em testes clínicos confidenciais e um carro militar de alto escalão que armazenava localização de bases militares e outros dados sensíveis sobre operações militares.
Essas práticas infringem diretamente o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE), segundo Amico. A legislação estabelece a obrigação de garantir segurança e exclusão adequada de dados pessoais quando não são mais necessários.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) tem gatilhos semelhantes. “Também no Brasil, existe o conceito de quem é o controlador e quem são os operadores de dados”, diz Amico.
Quem é responsável pela exclusão dos dados
“Uma concessionária pode depender de uma empresa de inspeção para revisar veículos. Nesse caso, a empresa de inspeção não é a controladora dos doados, mas pode ser responsável por deletá-los para que a concessionária esteja em conformidade com a LGPD e a GDPR”, afirma Amico.
As duas legislações determinam que as empresas controladoras precisam garantir que os dados dos clientes sejam protegidos e excluídos. E quando um carro muda de dono, isso vale tanto para concessionárias quanto para empresas de aluguel, seguradoras e financeiras.
As fabricantes de celular e os desenvolvedores de sistemas mobile também são responsáveis? “A resposta curta é sim”, diz Amico. “Para saber exatamente quais dados vai depender do carro que você está dirigindo e dos serviços que está usando”.
No geral, esses dados são usados para monetização, criação de perfis e direcionar publicidade.
André Houang, pesquisador de data protection do instituto InternetLab, diz que falta transparência das empresas que tem acesso aos dados de usuários. “Algumas empresas já tiveram escândalos no Brasil, Estados Unidos e Europa envolvendo dados em dispositivos e às vezes elas fornecem ou vendem informações sem nenhum fundamento jurídico legal para fazer isso”.
O pesquisador também diz que alguns dados são mais sensíveis do que outros, como é o caso da biometria ou gravações de imagem e voz. “As empresas querem usar esses dados para vender coisas e treinar inteligência artificial. Elas fazem isso para te entender melhor a partir de análise dos seus hábitos”, explica ao Estadão.
Uma outra consultoria focada em segurança de dados, a Mozilla Foundation, publicou um estudo que avaliou os riscos que cada montadora de carros demonstra para as informações dos usuários.
Embora muitas políticas de privacidade ofereçam uma explicação padronizada sobre quais dados são coletados, o problema é que a maioria dos consumidores não lê, diz Tracy Kariuki, porta-voz da instituição. “Além disso, mesmo que leiam as políticas, a linguagem costuma ser extremamente difícil de compreender. Grande parte do texto é vago e, na maioria das vezes, é necessário consultar vários documentos para ter uma noção da quantidade de dados coletados”.
Kariuki diz que as empresas também mudam as políticas dependendo do país onde estão, mas essa prática não significa mais confiança para o usuário. “As principais diferenças nas políticas de privacidade são baseadas na localização geográfica”.
