La acest articol au contribuit editorial Tudor Galoș, invitat Autocritica și consultant senior în domeniul Privacy & AI în cadrul Tudor Galos Consulting, și Cornel Șocariciu, jurnalist Autocritica cu 15 ani de experiență în domeniul auto.
***
Mai țineți minte vremurile când luai cheia mașinii și o foloseai pentru a deschide ușa șoferului? Eh, dragii moșului, eu am prins vremea când aveai chei diferite pentru încuietoarea de la ușa șoferului și pentru butucul auto. Revenind, mai țineți minte când foloseai o cheie pe care o învârteai jumătate pentru a pune contactul mașinii, apoi pentru a porni efectiv mașina? Explicați-mi și mie cum am ajuns să pornim mașina dintr-o aplicație pe un telefon mobil, aplicație care se conectează prin Internet la un serviciu cloud ce se conectează apoi la mașină, verifică niște credențiale (sau naiba știe ce face) și decide dacă pornește sau nu mașina?
Între timp, activitatea este jurnalizată cel puțin de către serviciul cloud, împreună cu alte informații esențiale ale autoturismului precum poziția GPS, temperatura exterioară și interioară, și altele. Implicit, cineva (sau ceva – alte servicii) are acces la acele date și le poate folosi. Mai mult, un hacker poate să îți pornească mașina de la distanță.
Acum imaginează-ți că îți conduci mașina de lux având lângă tine jumătatea ta mai bună, când brusc sistemul de infotainment al mașinii oprește muzica frumoasă care se auzea în sistemul tău de sunet scump și redă o secvență audio a unei conversații foarte intime între tine și o altă persoană, o conversație care a avut loc cu o zi înainte, când trebuia să fii la serviciu.
Jumătatea ta mai bună este în șoc și furioasă, tu ești în apoplexie, iar coșmarul nu se oprește – mașina continuă să redea alte înregistrări cu tine și alte persoane.
Science-fiction versus adevăr
În zilele noastre, majoritatea automobilelor sunt mașini conectate. Te ascultă și activează funcții atunci când spui cuvinte specifice precum “Hey, Mercedes”. Pentru a face acest lucru, mașina te ascultă, la fel cum te ascultă un dispozitiv Amazon Alexa. Mai mult, mostrele de voce sunt încărcate în algoritmi AI pentru a îmbunătăți abilitățile de recunoaștere vocală.
Mașina este o platformă de date care culege non-stop informații – date exterioare, date interioare, înregistrează date din senzori – inclusiv audio și video. Totul având la bază justificări solide, precum detectarea faptului că șoferul este obosit sau incapabil să conducă. Este, de asemenea, o cerință a Regulamentului (UE) 2019/2144 al Parlamentului European și al Consiliului din 27 noiembrie 2019 privind cerințele de omologare de tip pentru autovehicule și remorcile acestora, precum și pentru sistemele, componentele și unitățile tehnice separate destinate acestor vehicule, în ceea ce privește siguranța generală a acestora și protecția ocupanților vehiculelor și a utilizatorilor vulnerabili ai drumurilor. Articolul 6 alineatul (1) spune așa:
(1) Autovehiculele trebuie să fie echipate cu următoarele sisteme avansate pentru vehicule:
- sistemul inteligent de asistență pentru controlul vitezei;
- facilitarea instalării sistemului antidemaraj cu etilotest;
- sistemul de avertizare cu privire la somnolența și lipsa de atenție a conducătorului auto;
- sistemul de avertizare privind starea avansată de distragere a atenției conducătorului auto;
- semnalul pentru frânare de urgență;
- sistemul de avertizare la mersul înapoi; și
- dispozitivul de înregistrare a datelor privind evenimentele.
Deci, da, există legi care cer mașinilor să te “asculte”, să înregistreze datele, să le încarce în algoritmi AI care “învață” când un șofer este probabil somnoros sau distras.
Deci, cum rămâne cu protecția datelor cu caracter personal?
Poate vă întrebați ce legătură au datele personale cu aceste autoturisme. Răspunsul este: totul. Peste 95% dintre datele colectate, încărcate, folosite de autoturisme și de producătorii acestora sunt date personale întrucât ele sunt legate în mod unic de șofer. Definiția din GDPR a datelor personale (simplificată de mine) este „orice informații care duc direct sau indirect la identificarea unei persoane”. Acel indirect înseamnă că nu trebuie să știi tu cine se află în spatele unui număr de înmatriculare, VIN, dacă există o cale logică ce duce la identificarea unei persoane atunci acea dată este dată personală.
Legislațiile privind protecția datelor din întreaga lume, cum ar fi GDPR, impun operatorilor de date să aplice câteva principii de bază fiecărei operațiuni de prelucrare a datelor cu caracter personal: transparență, limitarea scopului, minimizarea datelor, acuratețea datelor, retenția limitată a datelor și securitatea datelor.
În ceea ce privește transparența, oamenii nu au nicio idee că mașinile le monitorizează vocile, le procesează imaginile și comportamentul la volan. Pentru că toate aceste “specificații” sunt ascunse (dacă există) în spatele unor notificări complicate de confidențialitate pe care trebuie să le acceptați prima dată când porniți o mașină. Raportul Mozilla din 2023 scoate la iveală încălcări grave ale producătorilor de autoturisme în modul în care folosesc datele personale colectate de autoturisme:
- Colectează date personale în exces.
- Majoritatea vând aceste date mai departe (peste 84% dintre producători).
- Niciunul nu îndeplinește minimum de cerințe de securitate standard.
Aș adăuga faptul că nu se cunoaște cine are acces la date, ce entități din cadrul grupurilor auto, cât timp sunt ținute datele și tot așa.
În acest studiu nu se regăsesc brand-urile chinezești sau deținute de companii din China. Ajungem și acolo.
Manifestarea riscurilor
Genul acesta de inconștiență în prelucrările de date duce nu doar la apariția riscurilor, ci la manifestarea lor: un programator inteligent a reușit să “spargă” o KIA conectată care nu avea controale de securitate adecvate. Tesla a descărcat de pe mașini imagini cu clienții lor, din casele lor, pe serverele Tesla, imagini care au fost accesate de angajații Tesla. Kia și Hyundai puteau fi furate cu un simplu hack, detaliat pe TikTok.
Unul dintre principiile cheie ale GDPR este asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Ceea ce, desigur, prevede că ori de câte ori este proiectată o nouă operațiune de prelucrare a datelor cu caracter personal, trebuie luate în considerare aspectele de protecție a datelor de la bun început. Cu toate acestea, din exemplele de mai sus vedem că producătorii de mașini acordă puțină atenție confidențialității; și acest lucru ne va costa mult în viitorul imediat.
Gândește-te ce se poate întâmpla dacă un hacker are acces la datele autoturismului tău; nici măcar nu este nevoie să îl fure, îl interesează rutina zilnică, pe unde mergi, cum mergi. Aceste informații valorează de câteva ori mai mult decât costul mașinii.
Ce date înregistrează, stochează și partajează o mașină și cu cine?
În primul rând, avem platforma digitală a producătorului – un sistem de operare, cu aplicațiile și sistemele sale de bază. Nimeni, în afară de producătorul auto și partenerii săi de service instruiți, nu ar trebui să poată accesa aceste sisteme de bază. Aceste sisteme gestionează diferitele setări și sarcini de lucru ale motorului mașinii, defecțiuni etc. Aceste sisteme gestionează și caracteristicile de siguranță ale mașinii – manipularea lor ar însemna amenințarea vieții șoferului și a pasagerilor. Astfel de sisteme nu ar trebui să stocheze date – ar trebui să acționeze pe baza specificațiilor producătorului care ar putea fi actualizate în timp.
Apoi avem aplicații și sisteme terțe – aplicații și caracteristici, 1st party (de la producătorul auto), 2nd party (producător auto în parteneriat cu o altă companie) sau 3rd party (furnizor independent) descărcate din magazinul digital oficial al producătorului. Astfel de caracteristici ar putea debloca diferite caracteristici ale mașinii (așa cum face BMW în zilele noastre) sau experiențe noi – divertisment în mașină, hărți, jocuri. Toate aceste aplicații, sisteme și servicii înregistrează, stochează și încarcă date undeva – către producători, parteneri și furnizori independenți, de obicei toate în același timp.
Cu cât sunt implementate mai multe sisteme digitale și de divertisment într-o mașină, cu atât mai multe date sunt trimise către diferiți jucători. Și pe măsură ce numărul jucătorilor din industrie este în creștere, controlul accesului la datele personale sensibile devine crucial. Ori de câte ori vă gândiți la asta, gândiți-vă la cazul Tesla, de mai sus.
Unde este problema?
Atunci când astfel de date cu caracter personal sunt colectate, stocate, combinate și concatenate, acestea pot fi utilizate pentru a profila fiecare șofer. Comportamentul de conducere, personalitatea, relațiile, EQ, IQ, totul. Da, unii producători auto vând aceste date la asigurători și mulți șoferi s-au trezit cu polițele mărite fiindcă nu conduceau ca o bătrânică în Germania.
Paradoxul este că autoritățile de protecție a datelor ce ar trebui să își facă treaba nu intră tare de tot în acești producători pentru a le mai tempera entuziasmul.
Drept urmare, pe măsură ce tehnologia devine din ce în ce mai ieftină, tot mai mulți producători auto implementează platforme de big data pentru a colecta, stoca și procesa datele personale ale șoferilor. Mai mult, își presează dealerii auto să convingă șoferii să „activeze” aplicațiile auto ce fac aceste colectări pentru ei. Alimentarea cu astfel de date a algoritmilor AI generează întotdeauna discriminare, bias și profilare.
Reglementarea algoritmilor de inteligență artificială prin noul AI Act va impune marilor jucători, inclusiv producătorilor de automobile, să-și regândească abordarea. Dar nu sunt foarte optimist, avem GDPR pe piață de șase ani și nu vedem mai multă transparență, proporționalitate sau securitate (verificați cazul de hacking de mai sus).
Problema chinezească
China este o țară condusă autocrat, de un partid unic, având la conducere un despot. Țara este obsedată de control, de aceea există sisteme de scoring social pentru populație, în funcție de cum se poartă fiecare cetățean. Deschizi gura împotriva Partidului? Bile negre!
Mulți se întreabă de ce ar dori China să colecteze informații despre cetățenii europeni să zicem? Cu ce îi ajută? Da, tehnologiile Huawei au fost interzise în multe țări pentru că erau suspectate că descarcă date sensibile, inclusiv date personale. Dar ce poți face cu aceste date?
În momentul în care rușii au invadat Ucraina, sperând să ocupe rapid țara, din primele zile au început să vâneze persoane indezirabile, în fiecare sat sau oraș cucerit. Existau liste detaliate, pregătite de serviciile secrete. Ca să faci astfel de liste pe stil clasic, muncești de-ți sar capacele – nu mai bine implementezi niște soluții care să colecteze automat informații și să identifice rapid persoanele indezirabile, unde locuiesc, ce fac, în ce medii activează? Nu știi niciodată când îți trebuie – să ne amintim că în 2021 nimeni nu ar fi crezut că Rusia ar porni un război.
O țară fără o conducere democrată, fără un sistem de valori bazat pe drepturile omului, o țară cu o nomenclatură obsedată de control nu va face niciodată altceva decât să încerce să folosească tehnologia pentru a-și controla „dușmanii”.
De aceea, problema mașinilor dezvoltate și fabricate în China sau sub umbrela unor companii deținute de companii din China este în primul rând una de încălcare a intimității – software-ul și hardware-ul prezent pe aceste platforme colectează date despre care nu știm prea bine unde se duc și ce se întâmplă cu ele.
Care este soluția?
Optimismul meu în tot acest context este că soluția ar putea veni de la clienții care deja încep să întrebe dealerii auto despre confidențialitate și protecția datelor personale. Dealerii auto știu că nu au acces la datele mașinii, cu excepția datelor extrase de dispozitivele de service auto care se conectează fizic la mașini. Dar clienții cred că dealerii auto pot accesa și informații sensibile, cum ar fi istoricul GPS, astfel încât dealerii auto încep să pună întrebări producătorilor de mașini.
Deci, conversația începe. Cred că în curând vom vedea soluții de confidențialitate auto, similare cu protecția DuckDuckGo App Tracking pentru dispozitivele mobile Android, care ar limita datele trimise către diferiți jucători din industria auto sau cel puțin care ar informa șoferul despre datele care sunt trimise, redând controlul către persoana vizată.
Dacă ai o mașină modernă, îți recomand să începi să te uiți la datele pe care mașina ta le colectează, procesează, stochează și încarcă. Și începe să pui întrebări dealerului auto sau chiar producătorului auto.
Poziția (unor) constructori
În contextul ăsta, le-am adresat câte două întrebări simple reprezentaților producătorilor care activează pe piața din România. Întrebările sunt creionate pe baza informațiilor publicate anterior și sunt redate mai jos fix în forma în care au fost ele trimise.
- Ce date cu caracter personal înregistrează, stochează și transmit mașinile noi din gamă și cum se asigură producătorul că acestea nu vor ajunge publice sau în baza de date a unor companii care le pot valorifica în beneficiul propriu?
- Cât de transparent este procesul prin care clienții sunt informați cu privire la protecția datelor cu caracter personal și colectarea lor?
În unele cazuri, răspunsurile au venit prompt. În altele, n-au venit deloc. Oricum ar fi, din informațiile pe care le-am primit îți poți creiona o imagine de ansamblu a acestui subiect.
Acolo unde răspunsurile au fost simple (și la obiect) și pot fi înțelese cap coadă, am decis să le redăm integral. Unde am primit linkuri cu termene și condiții sau răspunsuri mult, mult prea complexe, am decis să facem un rezumat.
Ce spun producătorii de mașini
Spre exemplu, din partea Audi, Toyota și Volvo au venit astfel de răspunsuri. Ai link pe numele mărcii cu paginile în care te poți afunda în detalii referitoare la cum sunt procesate datele personale și ce date sunt colectate. Așa cum probabil intuiești, politicile GDPR reprezintă punctele de sprijin în enunțarea tuturor informațiilor, fiind baza legală utilizată de constructori.
Pe fiecare link vei găsi modul în care sunt utilizate datele personale, către ce terți merg (în anumite cazuri) și cum poți opri partajarea datelor personale. Totodată, Suzuki a confirmat că “procesul de colectare a datelor se realizează cu acordul clienților și în stricta concordanță cu legislația în vigoare”. Reprezentanții au mai adăugat și faptul că nu sunt colectate materiale de tip video sau foto.
De asemenea, Ford a trimis un document sănătos în care sunt defalcate tipurile de date și informații pe care le folosește și scopul acestora. De exemplu, VIN-ul, statusul sistemelor mașinii, odometrul și informațiile despre cum funcționează mașina sunt date pe care Ford le folosește pentru a oferi servicii de conectivitate mai bune, pentru a putea identifica mai rapid problemele, pentru servicii de diagnoză de la distanță, pentru cercetare de produs și pentru a oferi produse și servicii croite special pentru tine. Informațiile sunt transmise fie remote via FordPass Connect, AppLink, Wi-Fi sau obținute direct în momentul vizitelor la service. Tot cu aceleași scopuri sunt folosite și următoarele categorii de date: In Vehicle Services Information și Precise Location Information.
“Datele vizavi de comportamentul la volan (viteză, modul în care accelerezi, frânarea, direcția, cuplarea centurilor și alte asemenea) sunt folosite pentru a oferi servicii de conectivitate, pentru a înțelege mai bine și a repara problemele de performanță ale vehiculului; pentru a oferi servicii care necesită astfel de informații, cum ar fi ofertele de reduceri de asigurare auto sponsorizate de operatorul dvs. de asigurări (acolo unde acestea sunt disponibile); și pentru a oferi produse și servicii adaptate pentru dvs. Caracteristicile de conducere ne pot fi transmise de la distanță prin FordPass Connect sau AppLink”, scrie în documentul vizavi de protecția datelor.
De asemenea, date de tipul Connection Status Alerts și Over-the-Air Update Information sunt necesare pentru a valida faptul că Ford Pass Connect poate trimite și primi date și pentru a stabili dacă actualizările software sunt la zi.
Ford menționează că folosește o serie de măsuri de securitate tehnice, administrative și fizice pentru a ajuta la protejarea și menținerea securității, integrității și disponibilității informațiilor despre vehiculele conectate. Există o echipă dedicată de cyber security, iar constructorul face parte dintr-o serie de forumuri concentrate pe modul de abordare a acestor probleme tehnice complicate. De asemenea, Ford este unul dintre fondatorii Automotive Information Sharing Analysis Center, un fel de sediu central de lucru pentru producătorii de automobile, furnizori și alte părți interesate “pentru a împărtăși informații cibernetice, a coordona și a răspunde la amenințările cibernetice asupra vehiculelor”.
Așa cum am citit deja mai sus, ține de tine să întrebi lucrurile astea înainte să bifezi Agree în aplicația mobilă sau pe ecranul sistemului de infotainment. Practic, să eviți să semnezi în orb ca primarul, dacă îmi e permisă această paralelă. Despre cum sunt instruiți vânzătorii să-ți comunice informațiile pe care accepți să le împarți cu producătorul în momentul în care cumperi o mașină nouă, asta e cu totul o altă discuție care ar avea nevoie de luni, dacă nu ani de cercetare și investigare.
De asemenea, ține de fiecare dintre noi să se informeze de unul singur (adică să citească) înainte de a accepta partajarea datelor. Din multe motive. Poate omul din spatele mesei e obosit – i se întâmplă oricui – poate a uitat să-ți spună informații pe care tu le consideri relevante, dar pentru el sunt redundante, poate e sătul să audă de fiecare dată “da, da, accept, nicio problemă”, și tot așa. Pe de o parte vrei un sistem transparent, dar pe o altă parte vrei să pleci cât mai repede cu mașina din showroom. Iar parcurgerea unui document care presupune partajarea datelor personale nu-i neapărat un lucru de făcut pe repede înainte.
Revenind la răspunsurile primite de la reprezentanții mărcilor în România.
BMW a venit cu un răspuns complex la cele două întrebări.
“Clienții își pot ajusta granular setările de confidențialitate în orice moment în meniul de protecție a datelor direct în automobil, în aplicația My BMW sau în profilul lor BMW pe internet.
În principiu, datele sunt colectate din automobile doar în măsura în care acest lucru este absolut necesar pentru funcționalitatea anumitor servicii conform contractului ConnectedDrive sau dacă utilizatorii au fost de acord în mod expres. În generația actuală de automobile, clientul încheie un contract ConnectedDrive cu BMW AG pentru a putea utiliza funcțiile conectate. Funcții sensibile, cum ar fi recunoașterea vocală, trebuie de asemenea să fie activate explicit de către client. Oriunde este posibil, datele sunt procesate doar local, în automobil. Unele funcții de siguranță, cum ar fi asistentul de oboseală, procesează informații (de exemplu, datele din imaginile cu infraroșu) exclusiv la nivel local și nu transferă niciun fel de date către BMW Group.
BMW AG respinge în mod expres afirmațiile din Studiul Mozilla (septembrie 2023, N.R. cel invocat de Tudor) cu privire la prelucrarea datelor referitoare la originea etnică, sexualitate și stare de sănătate. BMW AG nu prelucrează și nu stochează astfel de date despre clienți.
Regulamentul general privind protecția datelor (GDPR) este baza pentru dezvoltarea globală a produselor. GDPR este standardul minim pentru dezvoltarea globală a produselor BMW Group. În cazul în care există cerințe legale suplimentare specifice unei anumite țări, acestea sunt, desigur, luate în considerare. Ca principiu, BMW Group nu vinde date cu caracter personal către terți.
Protecția datelor este inclusă datorită principiului „Privacy by Design”. Produsele BMW Group sunt dezvoltate în conformitate cu principiul „privacy by design”. În principiu, datele automobilului sunt colectate doar dacă acest lucru este absolut necesar pentru a furniza anumite servicii, este cerut de lege (de exemplu, EU eCall) sau dacă clienții și-au dat consimțământul expres. În plus, majoritatea serviciilor care necesită prelucrarea datelor cu caracter personal sunt dezactivate la prima utilizare a produsului și trebuie activate de către client. Funcțiile care necesită aprobarea activă a clientului sunt, în general, menite să ofere clienților o experiență de produs și mai bună. De exemplu, este posibilă procesarea vocală exclusiv la bord. Cu toate acestea, procesarea vocală externă permite asistentului personal inteligent BMW să îmbunătățească înțelegerea vorbirii. Mai mult, pe baza comportamentului de utilizare a automobilului, asistentul vocal poate face sugestii pentru destinații de navigare („navigație învățată”), opriri de încărcare sau activarea funcțiilor de asistență a șoferului în situații adecvate.
Principiul „Privacy by Design” se aplică și utilizării aplicațiilor partenere, cum ar fi Spotify, Alexa, YouTube sau Bundesliga, în automobile. Aceste aplicații nu sunt activate în mod implicit, ci trebuie să fie activate de către clientul care dorește să utilizeze aceste aplicații partenere în automobil. Înainte de prima utilizare, clientul trebuie să accepte termenii de utilizare ai partenerului corespunzător. Prelucrarea datelor în cadrul acestor aplicații este efectuată de către partenerul corespunzător și nu este responsabilitatea BMW.”
Pe lângă informațiile – bine punctate, zic eu – poți oricând intra în detalii specifice și poți citi cap coadă politicile de confidențialitate (aici și aici).
Răspunsul Mazda a fost și el unul complex.
“Mazda ia foarte în serios protecția datelor clienților. Autovehiculele noastre noi înregistrează, stochează și transmit diverse tipuri de date cu caracter personal, inclusiv informații privind starea vehiculului, date de diagnosticare, de localizare și de utilizare. Aceste date sunt utilizate pentru a asigura funcționalitatea, siguranța și operarea vehiculelor noastre, precum și pentru a oferi clienților noștri servicii specifice, în special Serviciile Conectate care pot fi utilizate prin intermediul aplicației MyMazda. Să luăm ca exemplu datele de localizare care sunt de obicei de mare interes pentru clienți: aceste date sunt colectate și prelucrate în principal pentru a furniza servicii bazate pe locație, cum ar fi navigația, asistența rutieră și urmărirea vehiculului în caz de furt. În plus, datele de localizare sunt anonimizate ori de câte ori este posibil pentru a proteja confidențialitatea clienților noștri.
Pentru a ne asigura că aceste date nu ajung în domeniul public sau în bazele de date ale companiilor care le-ar putea exploata în beneficiul lor, am implementat măsuri stricte de securitate. Acestea includ transmiterea criptată a datelor, stocarea securizată a datelor și accesul restricționat la date al personalului autorizat numai în scopuri specifice și limitate. În plus, nu vindem niciun fel de date cu caracter personal unor terțe părți.
Punem mare accent pe transparență și ne informăm în mod corespunzător clienții cu privire la prelucrarea datelor lor. Politicile de confidențialitate detaliate sunt furnizate clienților la achiziționarea unui autovehicul de la dealerii noștri și în timpul procesului de înregistrare în aplicația MyMazda, politicile noastre de confidențialitate fiind disponibile și pe website-ul nostru.
Șoferii au opțiunea de a dezactiva în orice moment unitatea de control telematică (TCU) prin intermediul setărilor legate de Vehiculul Conectat („Modul Întrerupere”). Această dezactivare asigură că doar funcțiile de bază esențiale, în special funcțiile de siguranță, cum ar fi eCall și conformitatea cu reglementările europene privind siguranța, continuă să comunice de la vehicul.”
Si MG România a venit cu informații utile vizavi de modul în care sunt colectate și folosite datele personale.
“În mod evident, cadrul legal este oferit de prevederile Regulamentului UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.
La fiecare livrare a unui vehicul nou, proces aplicat operațional prin rețeaua de dealeri, în fazele incipiente ale interacțiunii cu clienții noștri vânzătorii pun la dispoziția dânșilor spre semnare o Notă de Informare și Acord. Documentul este destul de explicit din punct de vedere al conținutului și acoperă toate categoriile de prelucrare de date îndeplinind obligațiile legale (emiterea facturilor, primirea plăţilor, transmiterea de notificări, elaborarea de rapoarte financiare și a altor obligații pe care legislația ni le impune) sau interesul legitim al activității noastre de distribuitor autorizat (încheierea și executarea contractelor cu clienții persoane juridice, sondaje de satisfacție a clienților, îndeplinirea unor contracte la care suntem parte și care au legătură cu activitatea desfășurată de noi, gestionarea în bune condiții a relației comerciale cu producătorul).
Clienții sunt informați de asemenea prin intermediul acestei Note de Informare și Acord despre drepturile dânșilor cu privire la colectarea și prelucrarea datelor oferite: acces, rectificare, ștergere, restricționare, depunerea unei plângeri dacă vor considera necesar. Pentru orice solicitare/plângere MG Motor România pune la dispoziția clienților o adresă de e-mail dedicată. Cont urmărit îndeaproape de responsabilul nostru GDPR. Pâna la momentul redactării acestui text MG Ro nu are înregistrată nicio plângere cu caracter GDPR.
Datele cu caracter personal pe care clienții noștri ni le furnizează direct, precum și cele pe care le colectăm indirect prin rețeaua națională de dealeri și reparatori autorizați sau instituții/autorități publice, sunt de trei tipuri:
– date de identitate: nume, prenume, CNP;
– date de contact: număr de telefon, adresă de domiciliu, adresă de e-mail, semnătură;
– date de identificare și date tehnice ale vehiculului: nr. înmatriculare, marcă, model, tip, serie șasiu, serie motor, data fabricației, data livrării, data primei înmatriculări, kilometraj.
Securizarea datelor cu caracter pesonal se efectuează la nivel de server. Măsurile de protecție sunt aplicate de tehnicieni IT cu o experiență profesională deosebită.
Datele personale ale clienților noștri nu sunt transmise niciodată prin e-mail. Profităm din plin de dezvoltarea tehnologiei care ne-a permis crearea rapidă a unei platforme digitale comună utilizată în activitatea curentă de întreaga noastră rețea. Lead urile, campaniile de service, acțiunile comerciale și alte comunicări, inclusiv cele care conțin date personale sunt importate direct în acestă aplicație. Accesul în aplicație se face exclusiv în baza conturilor punctuale pentru fiecare dealer/reparator autorizat în parte cu credențiale care trebuie modificate/actualizate periodic.”
Mercedes-Benz a concentrat răspunsurile într-un text scurt.
“Protecția și securitatea datelor sunt foarte importante pentru Mercedes-Benz. Datele ne permit să oferim servicii inovatoare care, printre altele, oferă o securitate sporită și astfel creează valoare adăugată. Cu Mercedes-Benz Data Vision, ne exprimăm aspirația pentru o gestionare durabilă, responsabilă și etică a datelor.
Însoțim noile dezvoltări tehnice cu trei principii clare:
Transparență: Clienții trebuie să știe când și ce date sunt colectate și în ce scop. Oferim informații cuprinzătoare despre procesarea datelor în informațiile de vânzare, aplicația Mercedes-Benz, manualul operatorului și termenii de utilizare. Sau chiar direct în autovehicul, acolo unde este posibil și practic.
Alegeri informate: Clienții decid singuri ce servicii folosesc și ce date doresc să împărtășească – fie prin consimțământ, prin contract sau printr-o simplă apăsare de buton.
Securitatea datelor: Standardele înalte de securitate ale clienților noștri se aplică în egală măsură și securității datelor autovehiculului conectat. Mercedes-Benz protejează datele clienților împotriva manipulării și utilizării abuzive. Dezvoltăm constant securitatea datelor, ținând cont de progresul IT.
Mai mult, în Mercedes-Benz Privacy Center, clienții au acces rapid o imagine de ansamblu asupra datelor lor personale și pot decide într-un mod intuitiv dacă și în ce mod Mercedes-Benz are permisiunea de a le folosi.”
Și Trust Motors, importator Citroën, DS, Opel și Peugeot a oferit un răspuns scurt și clar.
“Grupul Stellantis se angajează să protejeze datele cu caracter personal ale clienților („Datele”), respectând cerințele de confidențialitate ale datelor personale ale clienților* atât pentru clienții actuali care folosesc produse și servicii, cât și pentru clienții potențiali ale căror date sunt obținute prin intermediul site-urilor web, aplicațiilor, în rețea sau în sistemele existente pe vehicule.
Sistemul de infotainment are o secțiune privind confidențialitatea datelor, unde clientului care utilizează serviciile noastre conectate i se oferă întotdeauna opțiunea de a nu partaja nicio dată.
Datele care sunt partajate de către client sunt gestionate conform regulilor stricte de confidențialitate a datelor din UE, conform GDPR.
Clientul Stellantis trebuie să fie conștient de faptul că, dacă anumite date nu sunt partajate (de exemplu, locația vehiculului), este posibil ca serviciile disponibile (trafic live și navigație) să nu fie disponibile.
Dacă clientul și-a dat consimțământul pentru a partaja date, pe sistemul de infotainment apare o fereastră pop-up la intervale prestabilite care îi reamintește de alegerea sa.
Există o excepție, care este obligatorie din punct de vedere legal: un apel de urgență (e-call) suprascrie confidențialitatea datelor, ceea ce înseamnă că în cazul în care confidențialitatea datelor este activată și este declanșat un apel electronic, datele sunt partajate cu punctul de acces pentru siguranța publică, deoarece salvarea de vieți are mai multă prioritate decât confidențialitatea datelor.”
*Se bazează în principal pe Regulamentul european privind protecția datelor și pe reglementările corespunzătoare din alte jurisdicții, cum ar fi Legea privind confidențialitatea consumatorilor din California, legea braziliană LGPD privind protecția datelor.
De asemenea, reprezentanții au venit și cu o completare a răspunsurilor. Nu o s-o redau integral, ci vreau să punctez doar faptul că Stellantins Europe (din 2023, entitate unică de control a datelor pentru toate mărcile grupului din Europa extinsă) a implementat măsuri suplimentare cu privire la comunicarea cu clienții în ceea ce privește procedura referitoare la protecția datelor personale și vizavi de partenerii companiei (un acord de prelucrare a datelor definit pe baza șabloanelor furnizate de UE).
Reprezentanții Skoda și Porsche au oferit, de asemenea, răspunsuri scurte.
“Pentru Porsche, protecția vieții private și gestionarea datelor clienților săi și ale altor persoane într-o manieră confidențială este o preocupare importantă. Porsche ia foarte în serios tratarea în mod confidențial și de încredere a datelor cu caracter personal. Prelucrarea datelor cu caracter personal pentru care Porsche este responsabilă are loc exclusiv în cadrul prevederilor legale ale legii privind protecția datelor. Persoanele afectate sunt informate în mod deschis și transparent cu privire la prelucrarea datelor lor și drepturile care rezultă la punctele de contact respective – de exemplu, prin declarații de protecție a datelor, notificări privind protecția datelor și declarații de consimțământ. Pentru a satisface cerințele și nevoile specifice ale clienților săi pentru protecția vieții private dincolo de prevederile privind protecția datelor, Porsche chestionează în mod regulat clienții din diferite țări pe această temă. Porsche folosește aceste constatări pentru a continua să dezvolte opțiunile corespunzătoare de setare a confidențialității în interiorul și în afara vehiculelor sale, în special în ceea ce privește controlul, transparența și beneficiul, pentru clienții și părțile interesate.”
“Škoda folosește datele personale ale clienților pentru a le permite să utilizeze toate avantajele produselor digitale. Compania folosește doar datele personale care sunt necesare în acest scop. Pentru majoritatea produselor digitale, Škoda are nevoie, de exemplu, de următoarele date: informații de identificare, contacte, cod VIN, locație și ID-ul rețelei. Orice date sunt stocate sau prelucrate numai cu acordul clienților.
În ceea ce privește datele personale, folosim contracte (Data Processing Agreement), am definit măsurile tehnice și organizatorice și solicităm certificări ISO 27001 sau TISAX. Folosim furnizori verificați, de exemplu pentru serviciile de stocare în cloud. Škoda are grijă în ceea ce privește securitatea cibernetică – folosește Car Security Board și alte mecanisme pentru securitatea informațiilor. Toate datele sunt transmise și stocate într-un mod sigur. Compania are propriul cloud/centru date în Cehia și alte locuri destinate stocării. Compania a obținut și certificarea ISO/IEC 27001 (N.R. specifică domeniului de securitate a informațiilor).
Škoda menține o transparență deplină în acest sens (N.R. cu privire la informarea clienților vizavi de protecția datelor și colectarea acestora). Informațiile obligatorii legate de GDPR sunt disponibile pe site-ul producătorului, în aplicația mobilă MyŠkoda și în sistemul de infotainment al mașinii. Ori de câte ori prevede legislația, i se va cere utilizatorului să confirme Termenii și Condițiile (sub formă de contract) sau acordul pentru prelucrarea datelor cu caracter personal. Apoi, sistemul de infotainment al mașinii verifică dacă consimțământul este dat de o persoană autorizată, prin introducerea unei parole.”
În loc de concluzie
Concluzia noastră? Din informațiile pe care le-am cules, îmi e clar ce fel de date ajung la producător și cum sunt ele utilizate. Nu mi se pare că diferă prea mult (cu câteva excepții) cu cele pe care deja le cedezi telefonului mobil și care, ulterior, generează reclame, servicii și soluții adaptate stilului tău de viață. Vrei să ai pe hartă informații live legate de traficul din jur, atunci trebuie să accepți să partajezi locația mașinii. Dar nu uita un lucru – aplicațiile Google Maps sau Waze ți-au cerut și ele să apeși un buton de Accept Terms & Conditions în momentul în care le-ai instalat, altfel n-ai fi putut să le folosești așa cum o faci acum. Vrei să ai acces la mașină direct de pe telefonul mobil? Atunci ai nevoie să cedezi date personale. Cumva, computerul care trimite informații către ecranul pe care îl ai în mână trebuie să știe că tu ești tu și nu altcineva.
Prin urmare, toată situația e definită de o linie fină. Este clar că producătorii încearcă să îmbunătățească continuu acest proces prin care datele tale sunt colectate, stocate și folosite. Iar aici mă refer atât la metodele prin care ele ajung în baza de date a producătorului, cât și la modul în care sunt protejate.
Sigur, nimeni nu poate garanta 100% siguranța datelor – am tot văzut recent baze de date cu clienți ai unor companii din România de vânzare prin cotloane mai puțin luminate ale internetului – dar parcă altfel te pui în pat știind că o echipă de profesioniști în cyber security scanează tot ce se întâmplă pentru ca CNP-ul tău să nu ajungă pe mâna celor care vor să profite. Scăpări au existat, există și vor mai exista.
Despre modul în care sunt informați clienții, pare că există din partea constructorilor cel puțin un minim de voință – cât timp primești informări legate de faptul că urmează să cedezi informații personale odată ce bifezi căsuța X sau Y, serviciul Z sau W. Toate rândurile acelea scrise, pe alocuri, într-o limbă înțeleasă de avocați și notari au la bază GDPR, deci schimbările majore de-acolo ar trebui să vină.
Cât despre client, discuțiile sunt vaste. Și spunem asta pentru că ne putem raporta la situație în mai multe moduri. Dacă astăzi ai merge să cumperi o mașină nouă, sunt convins că ai citi cu atenție înainte să semnezi că ești de acord ca datele personale să ajungă în baza de date a producătorului.
Al doilea mod e cel în care te pui în pielea unor persoane pentru care e mai important să plece repede cu mașina din showroom. Degeaba îl obligi să citească fiecare rând, dacă pentru el produsul în sine e mult mai important decât orice altceva. Fie n-o să priceapă, fie n-o să acorde minimul de atenție, fie o să fie mai încântat de pachetul de iarnă gratuit pe care l-a primit de la dealer – sau ce discounturi se mai dau astăzi. Al treilea mod e cel în stilul “Next, next, next, agree, ok”. În ziua de astăzi, nici Bilbo Baggins n-ar mai fi citit contractul înainte să plece în aventură alături de gnomi. Iar lista asta cu exemple poate continua.
Deci, în timp ce producătorii ar putea face mai multe decât minimul cerut de GDPR, nici tu n-ar trebui să apeși OK de fiecare dată când cineva îți cere informații personale. Și nu ne referim aici doar la momentul în care îți cumperi o mașină nouă.
Foto principală: Dreamstime