El Canary - Segurança e Privacidade - Blog

Fechaduras Inteligentes colocam a privacidade em risco

Escrito por El Canary Editorial | 07/03/24 14:29
[Este artigo foi cuidadosamente traduzido pela equipe da El Canary Privacy & Ethics, assegurando a integridade e fidelidade do conteúdo original]

Artigo traduzido de EFF.org
 
A crescente implementação de fechaduras inteligentes em apartamentos, muitas vezes instaladas sem a permissão dos residentes, criou um fluxo de dados confidenciais de localização para as autoridades, proprietários e empresas privadas. Inquilinos não devem ser obrigados a se submeterem ao monitoramento apenas para entrar em suas casas. Precisamos, no mínimo, de leis de privacidade que exijam consentimento para coletar esses dados, um mandado judicial para acesso policial e forte minimização de dados.
 
Fechaduras inteligentes vêm em muitas formas. No nível mais básico, são fechaduras físicas que podem ser abertas com uma chave não tradicional, como um smartphone ou impressão digital. Mais importante do ponto de vista da privacidade, elas permitem que a empresa de fechaduras (e às vezes, os proprietários) coletem dados cada vez que o morador ou qualquer um de seus convidados destrancam sua porta. Para isso, as próprias fechaduras podem estar conectadas à internet ou podem depender de um aplicativo no smartphone do usuário (a chave) para transmitir os dados aos servidores da empresa da fechadura. Dependendo do modelo, a fechadura também pode gravar outros dados, como uma imagem da pessoa tentando destrancar a porta.
 
As fechaduras inteligentes tornaram-se cada vez mais populares nos últimos anos, principalmente entre proprietários de imóveis. Por exemplo, em 2019, moradores da cidade de Nova York conseguiram um acordo após um proprietário tentar exigir o uso de fechaduras inteligentes em seus apartamentos. O acordo determinou a opção de chaves físicas. A fechadura inteligente em questão naquele caso era feita por uma empresa chamada Latch. Embora a Latch não tenha sido citada na ação, a empresa mudou sua política de privacidade para remover a referência ao marketing e coleta de outros dados de localização. Seu software está supostamente presente em mais de 125.000 unidades residenciais ou espaços comerciais. Muitas outras empresas também fabricam fechaduras inteligentes. Elas são parte do crescimento dos dispositivos domésticos inteligentes.
 
Riscos de privacidade de fechaduras inteligentes

Apesar de sua conveniência, as fechaduras inteligentes podem criar um rastro de dados revelador que levanta preocupações sobre o poder das autoridades, a privacidade dos dados e a segurança da informação.
 
Esses dados podem dar às autoridades um poderoso novo fluxo de informações a serem obtidas sem o seu conhecimento. Empresas tendem a armazenar esse tipo de dado por muito mais tempo do que o necessário, e muitas vezes não é claro exatamente qual processo legal as empresas exigem antes de entregar os dados às autoridades. Isso dá à polícia uma ferramenta para obter um registro quase perfeito de todas as vezes que você ou algum convidado entrou em sua casa — um local particularmente resguardado por lei. No passado, a polícia poderia teoricamente juntar esses dados por conta própria com grande esforço, realizando uma vigilância ininterrupta. Mas, exceto nas investigações mais importantes, essas táticas seriam proibitivamente caras. Como é fácil para a polícia acessar os dados de fechaduras inteligentes, ela usará essa tática com mais frequência. Além disso, esses dados são retrospectivos - o que significa que a polícia pode voltar no tempo para obter informações sobre períodos anteriores a uma investigação.
 
Os donos de imóveis podem usar esses dados para assediar ou penalizar moradores. Proprietários que buscam despejar um inquilino com aluguel controlado ou indesejado podem usar esses dados para encontrar pequenas violações do contrato de aluguel, como ter um convidado por uma hora a mais do que o permitido, ou a fechadura inteligente poderia ser usada para trancar do lado e fora e assim expulsar sem aviso prévio um morador. Além disso, forçar residentes a abrir suas unidades com um smartphone poderia excluir os 15% da população que não possuem um - afetando desproporcionalmente idosos e pessoas de baixa renda. Em geral, pessoas que residem em imóveis alugados tendem a ter menos patrimônio líquido do que proprietários e são mais propensos a serem jovens, negros ou de origem hispânica.
 
As empresas privadas que gerenciam esses dados podem vendê-los. Essas informações - e os padrões de comportamento - podem ser úteis para profissionais de marketing criarem inferências sobre você, como: composição familiar; status de emprego; tipo de trabalho; entretenimento; e agenda de viagens. Algumas empresas parecem entender o risco (e a perda de confiança) associados à venda desses dados extremamente pessoais, e têm políticas de privacidade que descartam essa possibilidade. No entanto, à medida que as empresas adquirem mais dados, elas serão tentadas a lucrar às custas de seus usuários.
 
Tanto a fechadura inteligente quanto o sistema usado para armazenar os dados podem ser hackeados. Atualmente, fechaduras tradicionais podem ser arrombadas e as janelas das casas podem ser quebradas. No entanto, a escala de uma invasão de fechadura inteligente poderia aumentar o potencial de dano. É possível imaginar um cenário de pesadelo no qual um grupo de ransomware bloqueia as portas de um edifício inteiro até que o proprietário pague um valor alto. Da mesma forma, uma invasão do sistema central que armazena dados de fechaduras inteligentes exporia informações confidenciais sobre convidados, inquilinos e padrões de vida que, muitas vezes, é desnecessário armazenar.
Finalmente, os próprios usuários de fechaduras inteligentes podem usar os dados de forma abusiva. Notícias anteriores detalharam como dispositivos domésticos inteligentes podem ser usados por agressores para manter o controle sobre familiares. Ter um registro constante de quando a fechadura é aberta pode dificultar muito a fuga de pessoas em relacionamentos abusivos e a busca por ajuda.
 
Necessidade de leis para proteger os dados de fechaduras inteligentes

A cidade de Nova York é uma entre poucas a aprovar uma lei de privacidade para regular especificamente os dados de fechaduras inteligentes, tanto de proprietários quanto de empresas privadas. A lei inclui requisitos sobre consentimento, a opção de uma chave física, minimização, retenção, divulgação, uso e segurança. A lei também garante o direito individual de ação judicial caso a empresa venda os dados. Outras leis de privacidade mais gerais também regulariam esses dados. Dados de fechaduras inteligentes vinculados a um indivíduo ou residência se enquadram na definição de dados pessoais em países e estados com leis abrangentes de privacidade — como a União Europeia (através do GDPR), Califórnia, Colorado, Connecticut, Utah e Virgínia nos Estados Unidos. Alguns desses dados também podem ser regidos pela Lei Federal de Privacidade de Comunicações Eletrônicas dos EUA, que limita como certos dados podem ser compartilhados com o governo e entidades não governamentais.
 
Considerando os riscos à privacidade, precisamos de legislação robusta sobre proteção de dados para regular o uso de informações obtidas por fechaduras inteligentes, incluindo os seguintes aspectos:
 
  • Opção de fechadura tradicional: Inquilinos devem ter a opção de usar uma fechadura e chave tradicionais que não rastreiem e coletem seus dados pessoais. Escolher manter uma fechadura tradicional não deve trazer nenhum prejuízo ao morador e não deve existir incentivo extra para adotar fechaduras inteligentes.
  • Consentimento para processamento: Proprietários e empresas devem ser proibidos de processar os dados de fechaduras inteligentes de uma pessoa, exceto com o seu consentimento informado, voluntário, específico e “opt-in” (ou seja, que não seja concedido por padrão).
  • Minimização de dados: Empresas e proprietários devem ser proibidos de processar os dados de fechaduras inteligentes de uma pessoa, exceto se estritamente necessário para permitir que a fechadura funcione com segurança. Isso inclui proibições sobre reutilização, compartilhamento ou retenção desnecessárias dos dados. Mais especificamente, os proprietários devem ser proibidos de usar os dados para assediar ou despejar moradores.
  • Exigência de mandado e notificação: Empresas e proprietários devem ser proibidos de divulgar dados de fechaduras inteligentes às autoridades, exceto mediante mandado específico com base em causa provável e notificação imediata aos inquilinos. As empresas também devem publicar relatórios de transparência sobre o número de solicitações policiais que recebem e com que frequência as cumprem.
  • Requisitos de segurança: As empresas devem proteger fechaduras inteligentes e seus dados com fortes protocolos de segurança da informação, devendo notificar os consumidores em caso de violação dessa segurança. Fechaduras inteligentes devem ter uma chave física de reserva em caso de falha ou comprometimento do sistema.
  • Direito individual: As pessoas devem ter o direito a ação judicial para processar as empresas ou proprietários que violarem seus direitos à privacidade previstos em lei.
 
[Este artigo foi cuidadosamente traduzido pela equipe da El Canary Privacy & Ethics, assegurando a integridade e fidelidade do conteúdo original]

Título Original: Smart Locks Endanger Tenants’ Privacy and Should Be Regulated
Autores: MARIO TRUJILLO AND ADAM SCHWARTZ
Publicação: 04 ABRIL 2023
Fonte: https://www.eff.org/deeplinks/2023/04/smart-locks-endanger-tenants-privacy-and-should-be-regulated