Ataques cibernéticos são os acessos não autorizados ao sistema de informação para a prática de condutas ilícitas, tais como, roubo de identidade, transações eletrônicas indevidas, sequestros, frutos e etc. Um estudo de 2010 mostrou que um hacker pode se infiltrar em apenas uma das muitas unidades de controle eletrônico de um veículo para manipular o sistema crítico de segurança e controlar as funções, como desativar os freios, travar seletivamente as rodas e parar o motor, tudo isso usando apenas o Bluetooth e conexões celulares existentes.1
Estes ataques acontecem comumente diante de sistemas de compartilhamento de informações, ou seja, o compartilhamento de informações cibernéticas frequentemente usado para promover a disseminação da ciberinteligência seja entre os entes privados e entre estes e os entes públicos.2
Em virtude desta ameaça concreta, a regulamentação sobre carros autônomos deve enfrentar o tema exigindo que o fabricante ateste que o sistema utilizado no carro autônomo possui, por exemplo, recursos de auto diagnóstico, capazes de detectar e responder a ataques cibernéticos, intrusões não autorizadas, bem como um sistema de alerta ao operador do sistema operacional e ao motorista sobre estes ataques. Em outras palavras, o veículo deve alertar o operador de um ataque cibernético e permitir que os comandos do operador prevaleçam sobre os comandos gerados pelo hacker.3
Neste sentido, já ficou demonstrada a viabilidade destes ataques cibernéticos, com a possibilidade de falsificação de GPS, interferência e visão ofuscante, dentre outros, isto porque o sistema usado em carros autônomos funciona a partir de diversas conexões entre os sensores e outros sistemas como o Lidar da Google. Este contexto foi analisado por Jonathan Petit e Steven E. Shladover.4
É evidente que o sistema de automação terá acesso às informações pessoais do dono do veículo, como os locais, o horário, a rotina de sua vida cotidiana, se ele ou ela transporta outras pessoas no veículo, dentre outras. Portanto, o fabricante deve observar as regras legais para o tratamento de dados pessoais, no Brasil, reguladas pela LGPD e outras leis esparsas. Um dos pontos cruciais é a obtenção do consentimento, que é uma das bases de tratamento de dados pessoais conforme o art. 7o, inc. I da LGPD, como já tivemos oportunidade de analisar nesta coluna.5 Assim, ao adquirir um carro autônomo, o proprietário tem o direito de tomar ciência de maneira efetiva sobre a política de proteção de dados e privacidade, com a qual deverá concordar para poder utilizar as funcionalidades do sistema autônomo.6
Mas as bases de tratamento de dados não se resumem ao consentimento, o fabricante poderá realizar a coleta, o armazenamento, e todas as demais atividades descritas de maneira exemplificativa no art. 5o, inc. X da LGPD, sob o fundamento de uma ou mais bases legais para o tratamento de dados elencadas no art. 7o da LGPD, quais sejam: - cumprimento de obrigação legal ou regulatória (inc. II); - quando necessário para a execução do contrato (inc. V); - para o exercício regular de direito em processo judicial, administrativo ou arbitral (inc. VI); - para a proteção da vida ou da incolumidade física do titular ou de terceiro (inc. VII); ou - para atender aos interesses legítimos do fabricante (inc. IX).
Por isso, as empresas devem ser claras sobre as medidas contra os ataques cibernéticos em suas políticas de privacidade e de proteção de dados, sob pena de responder por prática comercial abusiva como no caso conhecido como Federal Trade Commission – FTC v. Wyndham Worldwide Corp.7
Enfim, estes ataques cibernéticos devem ser combatidos pelas empresas de maneira eficiente, podendo ser um vício do produto que deve ser analisado com cautela, estando o responsável legal obrigado às consequências legais. Outro ponto sensível diz respeito aos limites éticos na programação dos carros autônomos, ou seja, escolhas diante de circunstâncias adversas como uma possível colisão do veículo.
Sobre estes problemas e outras importantes questões envolvendo o desenvolvimento, testes e uso dos carros autônomos conferir a obra "Sistema de Responsabilidade Civil para Carros Autônomos", da Editora Foco.
__________
1 MARKOFF, John. Researchers Show How a Car’s Electronics Can Be Taken Over Remotely. In: New York Times (09 de março de 2011). Disponível aqui, acessado em 20 de março de 2020.
2 NOLAN, Andrew. Cybersecurity and Information Sharing: Legal Challenges and Solutions. In: Congressional Research Service, de 13 de março de 2015. Disponível aqui, acessado em 10 de março de 2020.
3 CRANE, Daniel A.; LOGUE, Kyle D.; PILZ, Bryce C. A Survey of Legal Issues Arising From The Deployment of Autonomous and Connected Vehicles. In: Michigan Telecommunications and Technology Law Review, vol. 23, pp. 191 - 320 (2017). Disponível aqui, acessado em 10 de março de 2024. p. 222.
4 PETIT, Jonathan; SHLADOVER, Steven. Potential Cyberattacks on Automated Vehicles. In: IEEE Transactions on Intelligent Transportation Systems, vol. 16, (2015), pp. 546 – 557. Disponível aqui, acessado em 20 de março de 2024. P. 06: “An autonomous automated vehicle can perceive its environment using multiple sensors. Recent implementations use different combinations of components: ranging sensors (lidar, radar), GPS, and map for Stanford autonomous automated vehicle; stereo camera and laser for Oxford RobotCar; stereo cameras, 3-D lidar, radar, and GPS for Annie WAY’s autonomous automated vehicle. However, future autonomous automated vehicles may integrate more components, and thus, we consider the following attack surfaces.”
5 Sobre os termos e condições de uso, cf. DE LIMA, Cíntia Rosa Pereira. Políticas de proteção de dados e privacidade e o mito do consentimento. In: Migalhas de IA e Proteção de Dados. Disponível aqui, acessado em 31 de julho de 2024.
6 LIMA, Cíntia Rosa Pereira de. Sistema de Responsabilidade Civil para Carros Autônomos. Indaiatuba (SP): Foco, 2023.
7 Wyndham Worldwide Corp., 799 F.3d 236, 241 (3d Cir. 2015).