Pedido de recusa de coleta de dados pessoais à Flock Safety e a resposta da empresa

 (honeypot.net)
2 pontos por GN⁺ 15 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Um residente da Califórnia enviou à Flock Safety um pedido de exclusão de dados pessoais e de não coleta referentes a si mesmo, sua família e seu veículo
  • A empresa recusou o pedido, afirmando que é apenas uma processadora de dados (Processor) e que o controle dos dados pertence às instituições clientes
  • Na resposta, explicou pontos como proibição de venda de dados, política de exclusão automática após 30 dias e escopo de coleta focado em imagens de veículos em locais públicos
  • O solicitante argumenta que a Flock Safety na prática processa diretamente informações de identificação pessoal e, portanto, teria obrigação de excluir os dados
  • Ainda não há definição sobre medidas legais, mas a possibilidade de contratar um advogado permanece em aberto

Pedido de exclusão de dados pessoais à Flock Safety e resposta

  • Um residente da Califórnia enviou por e-mail à Flock Safety um pedido de exclusão de dados pessoais e de não coleta, com base na CCPA (Lei de Privacidade do Consumidor da Califórnia)
    • O pedido exigia a exclusão, de todos os bancos de dados, de informações relacionadas a ele, seu veículo e seus familiares, além da proibição de coleta e armazenamento futuros
  • A Flock Safety informou na resposta que não pode processar o pedido
    • No e-mail de resposta, o nome do destinatário foi escrito incorretamente duas vezes
    • A empresa declarou que “a Flock Safety é uma prestadora de serviços e processadora que trata dados em nome de seus clientes, e os proprietários e controladores dos dados são os clientes”
    • Por isso, orientou que o pedido de exclusão seja enviado não à Flock Safety, mas diretamente à instituição que utilizou o serviço (cliente)
  • A empresa também explicou adicionalmente suas políticas de coleta e retenção de dados
    • De acordo com os contratos com clientes, o escopo e os limites do tratamento de dados são definidos, e os clientes são os proprietários dos dados
    • Proibição de venda de dados: a Flock Safety processa os dados conforme as instruções dos clientes e não os vende nem compartilha para fins comerciais
    • Informações coletadas: os leitores de placas (LPR) não coletam informações sensíveis como nome ou endereço, mas apenas imagens de veículos e informações visuais do exterior captadas em locais públicos
    • Finalidade de uso: os clientes usam os dados para fins de segurança, como gestão de segurança pública, resposta a incidentes e resolução de crimes
    • Prazo de retenção: por padrão, os dados são excluídos automaticamente após 30 dias, e os clientes podem ajustar esse período de acordo com leis ou políticas
  • A Flock Safety orientou consultar a Privacy Policy e a LPR Policy para mais detalhes

Interpretação jurídica e posição do indivíduo

  • O solicitante considera que a resposta da Flock Safety é juridicamente incorreta
    • O motivo é que a Flock Safety de fato é a entidade que coleta e processa informações de identificação pessoal (PII)
    • Segundo sua interpretação da CCPA, quem trata esse tipo de informação tem obrigação de atender a pedidos de exclusão
  • No momento, ainda não há definição sobre uma resposta judicial, mas a possibilidade de contratar um advogado segue em aberto

Leituras relacionadas

1 comentários

 
GN⁺ 15 일 전
Comentários no Hacker News

  • Eu escrevi esse post. Não esperava que a Flock atendesse ao meu pedido, mas tentei como experimento. Só que a resposta deles me incomodou. Eles disseram que “os dados pertencem ao cliente, e o cliente decide como usá-los e compartilhá-los”, o que entra em conflito direto com o propósito da CCPA. Se os dados são meus, não entendo por que o cliente deles teria o controle. Eu já não tinha muitas expectativas, mas ainda assim foi decepcionante ser recusado dessa forma

    • O que eles quiseram dizer foi: “não entre em contato conosco, entre em contato com o dono da câmera”. Mas os dados estão armazenados nos servidores da Flock. O ponto principal é que, só por estarem fornecendo espaço de armazenamento, isso não significa que não tenham posse sobre os dados. Mais do que isso, o problema é que o próprio sistema foi projetado para provocar violações de privacidade. Essa é justamente a crítica central à Flock, e seria interessante ver isso sendo discutido em tribunal
    • Fiquei pensando se não valeria a pena entrar em contato com eles de novo e pedir: “então me deem a lista de clientes e me avisem sempre que houver um novo cliente”
    • Seria interessante ver um juiz examinar até que ponto a Flock controla de fato o sistema. Se eles construíram um sistema que torna tão fácil coletar dados pessoais, então também deveriam criar um processo igualmente simples para atender pedidos de exclusão. No fim, foi porque os consumidores toleraram situações assim que as empresas passaram a tratar privacidade com descaso. Ainda bem que existem pessoas dispostas a se importar com esse tipo de questão. Fico curioso se há alguma forma de apoiar financeiramente os custos de uma ação judicial
    • Se conseguissem atrair atenção de youtubers como o LegalEagle, isso talvez desse visibilidade ao caso. O Benn Jordan também seria interessante como testemunha especialista
    • Mas isso é mesmo “meu dado”? Se eu estiver dirigindo e for gravado pela Ring camera da casa de outra pessoa, eu realmente posso alegar que aquele vídeo me pertence?

  • Não sei se esse tipo de pedido faz sentido juridicamente. Por exemplo, se uma cidade instala um sistema ALPR para coletar provas de crimes, um indivíduo não pode simplesmente pedir à Flock: “não coletem meus dados”. À luz da lei atual, isso parece uma exigência excessiva

  • Em posts recentes, o nome da empresa está aparecendo só como “Flock”, sem “Flock Safety (YC S17)”, e isso também aconteceu neste post anterior. Fico me perguntando se o formato de menção ao YC mudou

    • Talvez o YC esteja tentando se distanciar da polêmica de privacidade, mas sinceramente duvido que tenham esse nível de percepção
    • De modo geral, parece que esse tipo de menção tem aparecido menos. De qualquer forma, o título é escrito manualmente por quem envia, então não é algo automatizado

  • A Flock respondeu de forma parecida em Minnesota também, dizendo que “não somos o controlador dos dados”. Isso apesar de existir, pela MCDPA, o direito de pedir exclusão

    • Isso é cumprir a lei. Clientes do governo estadual ou municipal provavelmente não querem aceitar esse tipo de solicitação

  • A diferença entre “a Flock pode fazer o que quiser” e “a Flock deve apagar os dados quando solicitado” no fim das contas é a lei. Como os cidadãos elegem legisladores, a forma de fazer com que esse tema vire prioridade é pressionar por meio do voto

  • Parece que essa será uma briga difícil. A Flock sustenta que os dados são propriedade do governo e que ela é apenas uma prestadora de serviço de armazenamento. Se você mandar um pedido de exclusão para a AWS ou para o Google Cloud, provavelmente vai receber a resposta de que “estamos apenas armazenando”. No fim, sem ordem judicial, é difícil forçar a exclusão. Ainda assim, o fato de a Flock dizer que não usa os dados para outros fins reforça a analogia com armazenamento em nuvem

    • Mas na prática, como confirmar que um provedor de nuvem realmente não está olhando os dados sem um denunciante interno?

  • Segundo o documento de política de LPR da Flock, eles afirmam que podem usar os dados para exigências legais ou para resolver questões de segurança e privacidade. Então este caso não se enquadraria também como uma questão de privacidade? Além disso, na seção “Trust Us”, falta transparência sobre o uso de machine learning

    • Se você olhar o “Transparency Portal” deles, na prática mais de 30% das agências locais nem sequer têm o nome divulgado

  • Pelas leis dos EUA relacionadas a esse tipo de coleta de dados, o pedido de exclusão deve ser feito à autoridade local. Dá para ver informações sobre isso em deflock.org. O site é mantido por um morador de Boulder, Colorado

    • Seria divertido criar um sistema que enviasse automaticamente solicitações para todas as autoridades locais

  • Se a Flock estiver processando dados PII, então todos os clientes dela passam a ser subprocessadores (subprocessors). Nesse caso, a Flock teria de firmar acordos de processamento de dados (DPA) com todos eles. Quando chegasse um pedido de exclusão, ele também teria de ser encaminhado a todos os subprocessadores, como AWS, GCP e Cloudflare

    • Mas na prática é o contrário. A Flock é a subprocessadora, e a cidade ou autoridade local que a contratou para coletar os dados é a controladora. Portanto, o pedido tem de ser feito a eles

  • Se a desculpa deles for válida, então a CCPA perde totalmente a utilidade

    • Mas talvez o pedido nem tenha sido válido para começo de conversa. Por exemplo, você não pode pedir a uma empresa que opera câmeras de velocidade em nome da polícia para “apagar minha foto”. Os dados pertencem ao governo
    • Além disso, desde o momento em que uma regulação é criada, já começam a surgir formas de contorná-la. Antes mesmo de a lei existir, as brechas já são planejadas