Carros autônomos: desafios à privacidade e à proteção de dados

Migalhas de IA e Proteção de Dados

Ataques cibernéticos são os acessos não autorizados ao sistema de informação para a prática de condutas ilícitas, tais como, roubo de identidade, transações eletrônicas indevidas, sequestros, frutos e etc. Um estudo de 2010 mostrou que um hacker pode se infiltrar em apenas uma das muitas unidades de controle eletrônico de um veículo para manipular o sistema crítico de segurança e controlar as funções, como desativar os freios, travar seletivamente as rodas e parar o motor, tudo isso usando apenas o Bluetooth e conexões celulares existentes.¹

Estes ataques acontecem comumente diante de sistemas de compartilhamento de informações, ou seja, o compartilhamento de informações cibernéticas frequentemente usado para promover a disseminação da ciberinteligência seja entre os entes privados e entre estes e os entes públicos.²

Em virtude desta ameaça concreta, a regulamentação sobre carros autônomos deve enfrentar o tema exigindo que o fabricante ateste que o sistema utilizado no carro autônomo possui, por exemplo, recursos de auto diagnóstico, capazes de detectar e responder a ataques cibernéticos, intrusões não autorizadas, bem como um sistema de alerta ao operador do sistema operacional e ao motorista sobre estes ataques. Em outras palavras, o veículo deve alertar o operador de um ataque cibernético e permitir que os comandos do operador prevaleçam sobre os comandos gerados pelo hacker.³

Neste sentido, já ficou demonstrada a viabilidade destes ataques cibernéticos, com a possibilidade de falsificação de GPS, interferência e visão ofuscante, dentre outros, isto porque o sistema usado em carros autônomos funciona a partir de diversas conexões entre os sensores e outros sistemas como o Lidar da Google. Este contexto foi analisado por Jonathan Petit e Steven E. Shladover.⁴

É evidente que o sistema de automação terá acesso às informações pessoais do dono do veículo, como os locais, o horário, a rotina de sua vida cotidiana, se ele ou ela transporta outras pessoas no veículo, dentre outras. Portanto, o fabricante deve observar as regras legais para o tratamento de dados pessoais, no Brasil, reguladas pela LGPD e outras leis esparsas. Um dos pontos cruciais é a obtenção do consentimento, que é uma das bases de tratamento de dados pessoais conforme o art. 7o, inc. I da LGPD, como já tivemos oportunidade de analisar nesta coluna.⁵ Assim, ao adquirir um carro autônomo, o proprietário tem o direito de tomar ciência de maneira efetiva sobre a política de proteção de dados e privacidade, com a qual deverá concordar para poder utilizar as funcionalidades do sistema autônomo.⁶

Mas as bases de tratamento de dados não se resumem ao consentimento, o fabricante poderá realizar a coleta, o armazenamento, e todas as demais atividades descritas de maneira exemplificativa no art. 5o, inc. X da LGPD, sob o fundamento de uma ou mais bases legais para o tratamento de dados elencadas no art. 7o da LGPD, quais sejam: - cumprimento de obrigação legal ou regulatória (inc. II); - quando necessário para a execução do contrato (inc. V); - para o exercício regular de direito em processo judicial, administrativo ou arbitral (inc. VI); - para a proteção da vida ou da incolumidade física do titular ou de terceiro (inc. VII); ou - para atender aos interesses legítimos do fabricante (inc. IX).

Por isso, as empresas devem ser claras sobre as medidas contra os ataques cibernéticos em suas políticas de privacidade e de proteção de dados, sob pena de responder por prática comercial abusiva como no caso conhecido como Federal Trade Commission - FTC v. Wyndham Worldwide Corp.⁷

Enfim, estes ataques cibernéticos devem ser combatidos pelas empresas de maneira eficiente, podendo ser um vício do produto que deve ser analisado com cautela, estando o responsável legal obrigado às consequências legais. Outro ponto sensível diz respeito aos limites éticos na programação dos carros autônomos, ou seja, escolhas diante de circunstâncias adversas como uma possível colisão do veículo.

Sobre estes problemas e outras importantes questões envolvendo o desenvolvimento, testes e uso dos carros autônomos conferir a obra "Sistema de Responsabilidade Civil para Carros Autônomos", da Editora Foco.

(Imagem: Divulgação)

__________

1 MARKOFF, John. Researchers Show How a Car's Electronics Can Be Taken Over Remotely. In: New York Times (09 de março de 2011). Disponível aqui, acessado em 20 de março de 2020.

2 NOLAN, Andrew. Cybersecurity and Information Sharing: Legal Challenges and Solutions. In: Congressional Research Service, de 13 de março de 2015. Disponível aqui, acessado em 10 de março de 2020.

3 CRANE, Daniel A.; LOGUE, Kyle D.; PILZ, Bryce C. A Survey of Legal Issues Arising From The Deployment of Autonomous and Connected Vehicles. In: Michigan Telecommunications and Technology Law Review, vol. 23, pp. 191 - 320 (2017). Disponível aqui, acessado em 10 de março de 2024. p. 222.

4 PETIT, Jonathan; SHLADOVER, Steven. Potential Cyberattacks on Automated Vehicles. In: IEEE Transactions on Intelligent Transportation Systems, vol. 16, (2015), pp. 546 - 557. Disponível aqui, acessado em 20 de março de 2024. P. 06: "An autonomous automated vehicle can perceive its environment using multiple sensors. Recent implementations use different combinations of components: ranging sensors (lidar, radar), GPS, and map for Stanford autonomous automated vehicle; stereo camera and laser for Oxford RobotCar; stereo cameras, 3-D lidar, radar, and GPS for Annie WAY's autonomous automated vehicle. However, future autonomous automated vehicles may integrate more components, and thus, we consider the following attack surfaces."

5 Sobre os termos e condições de uso, cf. DE LIMA, Cíntia Rosa Pereira. Políticas de proteção de dados e privacidade e o mito do consentimento. In: Migalhas de IA e Proteção de Dados. Disponível aqui, acessado em 31 de julho de 2024.

6 LIMA, Cíntia Rosa Pereira de. Sistema de Responsabilidade Civil para Carros Autônomos. Indaiatuba (SP): Foco, 2023.

7 Wyndham Worldwide Corp., 799 F.3d 236, 241 (3d Cir. 2015).

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES