Ação coletiva contra GM, OnStar e LexisNexis Risk Solutions [PDF]
(static01.nyt.com)- O morador da Flórida Romeo Chicco entrou com uma ação coletiva contra GM, OnStar e LexisNexis Risk Solutions, alegando que dados de direção após a compra de um Cadillac XT6 foram coletados e transmitidos sem consentimento e usados na análise de seguro
- O cerne das alegações é a violação, pela LexisNexis, da Fair Credit Reporting Act; pela GM e OnStar, da Florida Deceptive and Unfair Trade Practices Act; e invasão de privacidade segundo a common law da Flórida
- O autor afirma que não tomou conhecimento, no contrato de compra nem nas orientações da OnStar, do compartilhamento de dados ou de uma adesão separada ao OnStar Smart Driver, e que nunca consentiu com esse programa
- Um relatório de divulgação ao consumidor da LexisNexis recebido em janeiro de 2024 continha 258 eventos de direção na seção Telematics, incluindo horário de condução, aceleração, frenagem brusca, eventos de alta velocidade, distância e VIN
- A recusa de contratação de seguro e a forte alta no prêmio foram apontadas como danos diretos, e o autor contesta o uso de informações negativas sem definição, método de cálculo ou contexto dos eventos de direção
Estrutura básica da ação
- Romeo Chicco entrou com uma ação coletiva em nome próprio e de pessoas em situação semelhante
- Há 3 rés no processo
- General Motors LLC
- OnStar LLC
- LexisNexis Risk Solutions Inc.
- A ação se baseia em três fundamentos
- Fair Credit Reporting Act, 15 U.S.C. § 1681 e seguintes
- Florida Deceptive and Unfair Trade Practices Act, Fla. Stat. § 501.201 e seguintes
- invasão de privacidade segundo a common law da Flórida
- O autor alega que informações de direção imprecisas ou negativas foram reportadas sem seu conhecimento e consentimento, e que a transferência e divulgação dos dados configuram invasão de privacidade
- A petição também inclui a alegação de que ele sofreu prejuízos e considerável sofrimento emocional em razão da conduta das rés
Jurisdição e partes
- O caso foi ajuizado no Tribunal Distrital do Sul da Flórida nos EUA
- Aplica-se a jurisdição federal por envolver violação de lei federal, e os pedidos com base em lei estadual se apoiam em jurisdição suplementar
- O autor é uma pessoa física residente em Palm Beach County, Flórida, e afirma ser um consumer nos termos da FCRA
- GM e OnStar são empresas que operam na Flórida
- A LexisNexis é apresentada como uma empresa global de dados e análise que opera na Flórida
- Na petição, GM e OnStar são descritas como furnisher que fornecem informações a agências de relatório ao consumidor, e a LexisNexis é definida como consumer reporting agency nos termos da FCRA
Compra do Cadillac e orientações da OnStar
- O autor comprou, por volta de 16 de novembro de 2021, um Cadillac XT6 modelo 2021 zero-quilômetro na Ed Morse Cadillac, em Delray Beach, Flórida
- Havia itens detalhados no contrato de compra, mas o autor afirma que não constavam os seguintes itens
- OnStar
- LexisNexis
- compartilhamento de dados
- itens relacionados à privacidade
- O autor afirma que um representante da concessionária disse que o OnStar Smart Driver “não é algo vendido na loja” e que a OnStar não informa à concessionária quem aderiu ao programa de compartilhamento de dados nem quando isso ocorreu
- Logo após a compra, o autor baixou o MyCadillac Application em seu dispositivo móvel
- Em 18 de novembro de 2021, recebeu um e-mail informando o início do teste de Cadillac Connected Services e da cobertura Safety & Security
- O e-mail orientava a pressionar o botão azul da OnStar para iniciar a Welcome Call
- Os itens incluídos eram Connected Navigation, OnStar Safety & Security, Remote Access e In-Vehicle Data
- O autor afirma que não queria serviços da OnStar, por isso não pressionou o botão azul, e que o e-mail não mencionava o OnStar Smart Driver Program
- Depois disso, ele recebeu e-mails de diagnóstico da OnStar, mas afirma que entendeu isso como uma funcionalidade oferecida pelo app MyCadillac
- Também afirma que sua fatura não incluía compra nem pagamento de serviços relacionados à OnStar
Questão do consentimento ao Smart Driver
- Por volta de fevereiro de 2024, a concessionária forneceu ao autor o OnStar Smart Driver FAQ
- A parte relevante do FAQ explica que a OnStar não coleta dados de comportamento ao volante sem o consentimento do cliente
- Segundo o FAQ, o cliente precisa aderir ao OnStar Smart Driver separadamente dos serviços básicos da OnStar, e é necessário um consentimento separado para o Smart Driver
- Após o consentimento e a adesão, os dados que podem ser coletados conforme o desempenho do veículo são os seguintes
- eventos de frenagem brusca
- eventos de aceleração brusca
- velocidade acima de 80 milhas por hora
- velocidade média
- direção durante a madrugada
- momento em que a condução ocorre
- distância percorrida
- Em 12 de março de 2024, o Vehicle Profile do autor no Cadillac Owner Center online da GM mostrava que o veículo não estava conectado à conta
Recusa de seguro e relatório da LexisNexis
- O autor usou a mesma seguradora durante a maior parte de 2021, 2022 e 2023, e essa seguradora renovou repetidamente sua apólice
- Por volta de dezembro de 2023, a seguradora anterior informou ao autor que não ofereceria mais seguro a residentes da Flórida
- Em torno de 18 de dezembro de 2023, o autor tentou contratar seguro pelos serviços online de várias seguradoras, mas todas recusaram a tentativa
- O autor afirma que, ao ligar para a Liberty Mutual para perguntar a razão da recusa, um atendente explicou que o motivo eram as informações de seu relatório da LexisNexis e orientou como acessar o relatório
- O autor solicitou o relatório da LexisNexis e afirma que levou de 2 a 3 semanas para receber os materiais de divulgação ao consumidor
- Nesse período, ele diz ter falado com um corretor de seguros local para encontrar uma seguradora, mas o prêmio quase dobrou
- O autor relata ter sentido grande frustração e choque nesse processo
Conteúdo e limites do registro de Telematics
- No relatório de divulgação ao consumidor da LexisNexis recebido pelo autor por volta de janeiro de 2024, havia 258 eventos de direção registrados no subitem Telematics com data-base de 18 de dezembro de 2023
- Cada evento de direção incluía os seguintes detalhes
- data de início e fim da viagem
- horário de início e fim
- eventos de aceleração
- eventos de frenagem brusca
- eventos de alta velocidade
- distância
- VIN
- O autor afirma que o relatório não fornece contexto sobre os eventos de direção
- Por exemplo, um determinado registro mostrava 2 eventos de aceleração e 1 evento de frenagem brusca, mas, segundo o autor, o relatório não trazia a definição desses termos nem o método de cálculo
- O autor também afirma que o relatório não explica por que ele passou por esses eventos, nem quais eram as condições de condução e os fatores externos naquele momento
Ligações com LexisNexis, GM e OnStar
- Em 11 de janeiro de 2024, o autor ligou para a LexisNexis para perguntar por que seus dados de direção haviam sido coletados sem consentimento
- Segundo ele, a LexisNexis orientou que ligasse para a GM
- No mesmo dia, quando ligou para a GM, a empresa teria explicado que os dados telemáticos eram transmitidos pela OnStar
- Quando o autor disse que nunca havia aderido à OnStar, ele afirma que um atendente da GM confirmou que havia um plano OnStar vinculado ao seu veículo e o transferiu para um atendente da OnStar
- Segundo o autor, um atendente da OnStar disse que a única forma de dados telemáticos serem enviados a seguradoras seria se ele tivesse feito opt-in, via seguradora, em um programa de desconto por direção segura
- O autor afirma que nunca fez opt-in para esse tipo de programa de seguro
- Ele relata que depois falou com outros atendentes da OnStar, mas ninguém conseguiu explicar por que a OnStar distribuiu informações telemáticas sem consentimento
1 comentários
Comentários no Hacker News
Segundo a petição inicial, o autor não queria o serviço OnStar, não apertou o botão azul de “começar” e os e-mails também não mencionavam o Smart Driver Program da OnStar
Mas, em um relatório de divulgação ao consumidor da LexisNexis que recebeu por volta de janeiro de 2024, havia 258 eventos de direção registrados em “Telematics” com data de 18 de dezembro de 2023; cada evento incluía data e hora de início/fim, aceleração brusca, frenagem brusca, alta velocidade, distância e VIN
O autor nunca havia aderido a qualquer programa de seguro que autorizasse o compartilhamento de suas informações
Post relacionado: “Automakers are sharing consumers' driving behavior with insurance companies” - https://news.ycombinator.com/item?id=39666976
Se você tem um carro fabricado nos últimos ~5 anos, pode solicitar aqui o “Consumer Disclosure Report” da LexisNexis: https://consumer.risk.lexisnexis.com/
Segundo o NYT, a LexisNexis recebe alguns dados de GM, Ford, Kia, Subaru e Mitsubishi
A Verisk também recebe dados de GM, Hyundai, Honda e outras, e é possível solicitar aqui: https://fcra.verisk.com/#/
Como aquele post ficou na página principal por apenas 3 horas, faz sentido que este também volte a subir
A GM estava enviando todos os dados de telemática para um grande cluster de dados processado na escala de 100Gbps, e, quando a Cisco lançasse suporte a 400Gbps, o volume de dados também dobraria
O objetivo original era ajudar na precificação de carros usados, e essa intenção em si me parecia válida, então eu apoiava, mas não sabia que os dados estavam sendo vendidos a corretores de seguros, embora na verdade eu devesse ter previsto isso
Agora a caixa de Pandora foi aberta, e eles não vão reverter esse recurso. Vão pagar multas e oferecer opt-out para alguns usuários, mas só uns 5% realmente vão escolher isso, e, em 10 anos, será considerado normal que seguradoras monitorem hábitos de direção
Já se passaram 10 anos desde a controvérsia sobre a venda de dados de localização em tempo real, e ontem à noite mesmo vi o IP da minha casa reportando minha localização com precisão de 0,25 milha. Aquele cheque de 5 dólares da Verizon provavelmente era a multa
Essas empresas devem estar acostumadas a operar esquecidas nas sombras, então o simples fato de mais pessoas pedirem relatórios já pode ser um pequeno sinal de que há gente observando
Não uso recursos extras nem assinatura mensal, então estou muito curioso para saber se mesmo assim houve algum tipo de reporte a partir do meu carro
Se alguém realmente odeia que a LexisNexis colete esse tipo de dado, ou quer acompanhar continuamente sua situação de crédito, fico pensando se existe algum motivo para não rodar um script pedindo relatórios impressos todos os dias. Não sei quanto custa cada carta, mas 365 por ano certamente não sairia barato
As alegações da ação se dividem basicamente em três pontos: violação da Fair Credit Reporting Act (FCRA) por compartilhar e reportar indevidamente, sem consentimento, os dados de direção do autor, afetando sua capacidade de contratar seguro automotivo e o valor do prêmio; violação da Florida Deceptive and Unfair Trade Practices Act por compartilhar dados pessoais de direção sem que o proprietário soubesse ou consentisse; e invasão de privacidade segundo a common law da Flórida, porque o rastreamento, a coleta e o compartilhamento sem consentimento invadem a vida privada e causam incômodo
Nos próximos anos, vamos descobrir muito mais sobre o tipo de coisa repugnante que corretores de dados e, na prática, quase todas as grandes empresas vinham fazendo
Desde que meu número pessoal vazou por erro em algum lugar, eu passei a exigir que digam de onde vieram meus dados sempre que recebo uma chamada de spam. No começo desconversam com “nosso time de dados”, mas, se você insistir, eles contam
Essas empresas de comércio de dados são realmente nojentas
O rastreamento via rede celular nunca para, mas se você não pagar a assinatura em uma emergência, eles não chamam os serviços de socorro por você
No fim, isso quer dizer que seus dados importam mais do que você
Já fui alvo de órgãos do governo por anos e tenho conhecimento técnico, então já vi como esse tipo de invasão de privacidade e controle é usado na prática. Muitas coisas seriam impossíveis sem tecnologia ou internet
É um problema muito maior do que simplesmente largar o celular. É literalmente um Estado de vigilância, e mesmo se você sair das cidades, que viraram prisões de concreto, e for para os subúrbios, há câmeras nas portas de todas as casas, e as forças de segurança podem acessá-las
Nem é necessariamente preciso ordem judicial ou mandado para abusar disso e transformar isso em arma contra pessoas específicas. Se você tiver as pessoas certas e uma narrativa plausível, as empresas fazem de tudo até com os próprios clientes
Mesmo que você tire o cartão SIM e de algum jeito desative até os serviços de emergência, o celular ainda emite sinais, e vários scanners coletam isso
Quase ninguém sequer aceita que isso acontece em larga escala, e menos gente ainda consegue pensar direito nas implicações. O público precisa conhecer muito melhor todas as consequências disso
Funciona bastante bem
A GM parece estar se esforçando muito para não receber mais meu dinheiro no futuro
Tirou o suporte a CarPlay e Android Auto dos novos EVs e agora vem isso também. É simplesmente um desastre
Fica produzindo caixas de plástico sem inspiração e tentando arrancar mais alguns trocados dos clientes. Pessoalmente, acho que as montadoras estrangeiras já estão completamente na frente
Cresci em uma família ligada à indústria automotiva e sempre fui muito leal às Big 3, mas agora comecei a evitar esses carros. Eles até podem durar bastante, mas começam a quebrar em todo canto
Esse único recursozinho criou uma quantidade incalculável de confusão em estacionamentos no mundo todo
https://www.reddit.com/r/cars/comments/rshlke/why_do_gm_vehi...
A maioria das marcas hoje é só a casca do que já foi, especialmente a Cadillac, e nem lembro mais quando foi a última vez que vi um Chevy de que realmente gostei
É preciso votar com a carteira. Se pegam meus dados sem permissão, perdem meu negócio também
Carros japoneses, alemães e, até certo ponto, coreanos são muito melhores, e se você quer uma picape, a Ford é muito superior
A telemática precisa ser desativada e, se possível, o ideal é cortar fisicamente a alimentação elétrica do chip do modem
Pode me chamar de conspiracionista, mas pensando no caso de a 23andMe ser comprada por uma seguradora, há muitos paralelos com os problemas de elegibilidade para seguro quando dados de um lado passam para o outro sem um opt-in claro
DCSque desliga a alimentação do modemSegundo um e-mail que recebi da GM, assinantes do OnStar Smart Driver não podem recusar o compartilhamento de dados
Isso me parece violar pelo menos as regras de privacidade da Califórnia, e provavelmente as leis de outros estados também. Essas regras exigem opt-out. Sinceramente, tenho vontade de arrancar o modem do carro
Em especial, o link “Do Not Sell or Share My Personal Information” é obrigatório
https://oag.ca.gov/privacy/ccpa#sectionh
https://oag.ca.gov/contact/consumer-complaint-against-busine...
O custo de coletar e armazenar dados pessoais precisa ficar absurdamente caro
A LexisNexis sabia exatamente o que estava fazendo e provavelmente já embutiu até os custos de litígio no preço do produto
A Experian deveria ter levado uma multa tão grande pelo vazamento de todos aqueles dados que a empresa teria desaparecido. As chamas desse funeral teriam servido de aviso para outras empresas no mesmo caminho
Queria que existisse uma lei tipo a HIPAA para dados em geral
Um dos motivos pelos quais comprei um Toyota recentemente foi o fato de que, logo após a compra, eu podia apertar o botão “SOS” dentro do carro e pedir para desativarem a telemática
Não sei se isso realmente interrompeu a coleta de dados de localização, nem se eles podem religar depois por conta própria, então também removi o fusível que alimenta o transmissor. Por precaução, estou até pensando em envolver algumas peças em uma gaiola de Faraday
Quando fui escolher um carro novo, a possibilidade de impedir que ele me vigiasse estava praticamente no topo da minha lista de recursos desejados. Esse é um dos grandes motivos pelos quais não consigo comprar outro carro elétrico
Até onde sei, no mercado onde moro não há carros com a opção de não vigiar continuamente ou de desligar isso
Este artigo da Mozilla também vale a leitura: https://foundation.mozilla.org/en/privacynotincluded/article...
Eu só quero um carro “burro” com bateria no lugar da gasolina
Um conhecido meu tem a versão japonesa de uma minivan elétrica da Mitsubishi, e é o mais perto de um “carro elétrico burro” perfeito que já vi até hoje. Também é ótimo de dirigir. Só que ainda não fazem a versão 4x4, o que é importante em regiões frias e com muita neve
Os veículos vendidos em Massachusetts vêm com isso desativado por padrão, como forma de protesto contra a lei estadual de “direito ao reparo”, e em outras regiões dá para desligar manualmente
A menos que a Toyota esteja mentindo descaradamente, eu estava relativamente confiante de que tinha feito opt-out. Para ter certeza, acho que vou pedir meus dados
Li o material da Mozilla e fóruns de carros sobre as questões de privacidade e a possibilidade de ligar/desligar a telemática, mas não cheguei a uma conclusão sobre se isso realmente interrompe a coleta
Gostaria de saber se há algum link de referência mostrando exatamente qual fusível foi removido fisicamente
Se tirar esse fusível, dá para eliminar a telemática. Mesmo assim, vou continuar dirigindo meu Lexus de 24 anos
Precisamos de uma Declaração de Direitos de Privacidade
Na prática, nenhuma outra abordagem funciona