O Procurador-Geral da Califórnia, **Rob Bonta**, anunciou um acordo de US$ 12,75 milhões com a **General Motors (GM)** sobre alegações de que a empresa violou a **Lei de Privacidade do Consumidor da Califórnia (CCPA)**. ### Coleta e Venda de Dados As violações decorrem de acusações de que a fabricante de automóveis coletou e vendeu ilegalmente dados de direção e localização de residentes da Califórnia para os corretores de dados **Verisk Analytics** e **LexisNexis Risk Solutions** entre 2020 e 2024. A investigação foi iniciada em 2024, motivada por reportagens da mídia destacando a prática de montadoras, incluindo a **GM**, de compartilhar dados de comportamento do motorista com seguradoras. Os dados foram supostamente coletados através da subsidiária **OnStar** da **GM** e seu sistema "Smart Driver", supostamente para produtos de pontuação de motoristas relacionados a seguros. ### Análise Anterior da FTC A **GM**, proprietária de marcas como GMC, Cadillac, Chevrolet e Buick, já havia enfrentado críticas da **Comissão Federal de Comércio dos EUA (FTC)** por práticas semelhantes de coleta de dados. A **FTC** chegou a proibir a **GM** de vender dados de localização de motoristas por cinco anos. As autoridades da Califórnia afirmaram que a **GM** não notificou adequadamente os consumidores nem obteve seu consentimento para essa coleta de dados. Além disso, a empresa supostamente reteve os dados por mais tempo do que o necessário, reutilizando-os para venda e gerando US$ 20 milhões em todo o país. ### Declarações Oficiais "A **General Motors** vendeu os dados de motoristas da Califórnia sem o conhecimento ou consentimento deles e, apesar de inúmeras declarações tranquilizando os motoristas de que não o faria", declarou o Procurador-Geral **Rob Bonta**. "Este tesouro de informações incluía dados de localização precisos e pessoais que poderiam identificar os hábitos e movimentos cotidianos dos californianos." ### Multa Recorde e Minimização de Dados Os US$ 12,75 milhões em penalidades civis marcam um recorde na história da Califórnia e representam a primeira ação de fiscalização focada em regras de minimização de dados. ### Termos do Acordo Além da multa, a **GM** é obrigada a: * Parar de vender dados de direção para agências de relatórios de consumidores e corretores por cinco anos. * Excluir os dados de direção retidos em até 180 dias, a menos que os consumidores consintam explicitamente com a retenção. * Solicitar à **LexisNexis** e **Verisk** que excluam os dados que receberam anteriormente. * Implementar um programa de conformidade de privacidade mais robusto e enviar avaliações regulares aos reguladores. Os oficiais esclareceram que os motoristas da Califórnia provavelmente não experimentaram prêmios de seguro mais altos devido às vendas de dados da **GM**, graças às leis estaduais que proíbem as seguradoras de usar dados de direção para definir tarifas. O BleepingComputer entrou em contato com a **GM** para comentar, mas não recebeu resposta até o momento da publicação. ### Resposta da GM Atualização 12/05 - Um porta-voz da **GM** enviou ao BleepingComputer o seguinte comentário: "Este acordo aborda o Smart Driver, um produto que descontinuamos em 2024, e reforça as medidas que tomamos para fortalecer nossas práticas de privacidade. A conectividade veicular é central para uma experiência de direção moderna e segura, e é por isso que estamos comprometidos em ser claros e transparentes com nossos clientes sobre nossas práticas e as escolhas e o controle que eles têm sobre suas informações."  ## [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)