Privacidade de dados em apps de robo aspirador: o que o usuario precisa saber

Privacidade de dados em apps de robô aspirador: o que o usuário precisa saber

O robô aspirador mapeia sua casa, registra o posicionamento dos móveis, sabe em que horário cada cômodo é usado e, nos modelos com câmera, pode capturar imagens do ambiente. Tudo isso sai do seu Wi-Fi para servidores do fabricante. O que acontece com esses dados depois é uma questão que a maioria dos usuários não pesquisa antes de comprar.

Quais dados o robô aspirador coleta

Os dados coletados variam por modelo e fabricante, mas a maioria dos robôs aspiradores conectados compartilha pelo menos três categorias de informação com os servidores do fabricante: o mapa da planta da residência, os logs de uso (horários de limpeza, áreas cobertas, duração por sessão) e dados de diagnóstico do equipamento (erros, consumo de bateria, status dos sensores).

Modelos com câmera, como alguns da linha Ecovacs e do Roborock, adicionam imagens e vídeo ao pacote. Há um caso documentado e amplamente reportado em 2023 em que fotos tiradas por um Roomba durante testes de desenvolvimento vazaram para a Scale AI, empresa de rotulagem de dados contratada pela iRobot para aprimorar seus algoritmos. As imagens mostravam ambientes domésticos privados, incluindo ao menos um momento íntimo de uma pessoa em casa.

Onde esses dados ficam armazenados

Xiaomi e Roborock armazenam os dados em servidores próprios, com data centers localizados principalmente na China e em alguns casos na Europa. O Roborock permite ao usuário escolher a região do servidor no app, o que afeta onde os dados ficam armazenados fisicamente. Ecovacs usa servidores na China e nos Estados Unidos.

A Xiaomi tem certificação ISO 27001 (segurança da informação), ISO 27701 (privacidade de dados) e ETSI EN 303 645 (padrão europeu para dispositivos IoT), com auditoria pela TÜV Rheinland. Isso não significa que os dados nunca vazam, mas indica um nível de controle formal sobre o processo.

⚠️ Marcas menores sem essas certificações, como algumas marcas de importação vendidas no Mercado Livre sem suporte pós-venda formal, geralmente não publicam política de privacidade em português e não deixam claro onde os dados ficam. Para essas marcas, não há garantia alguma sobre o destino das informações coletadas.

Vulnerabilidades documentadas

Em 2019, pesquisadores identificaram no robô Trifo Ironpie M6 uma falha que permitia a atacantes remotos acessar o feed de câmera sem autenticação, porque os dados trafegavam sem criptografia. A falha foi documentada e o fabricante não emitiu correção. Esse tipo de problema não é exclusividade de marcas desconhecidas: em 2023, o Ecovacs Deebot X2 também teve vulnerabilidade documentada que permitia assumir controle remoto do robô via Bluetooth em proximidade física.

Em relação ao LiDAR especificamente, pesquisadores demonstraram em 2020 que era possível reconstruir o layout de uma residência a partir dos dados de sensor de um Roborock S5, mesmo sem acesso à câmera. O mapa topográfico que o robô gera é suficiente para inferir quantos cômodos a casa tem, onde ficam portas e janelas e qual é a movimentação típica dos moradores.

O que o usuário pode controlar

Cada app tem configurações diferentes, mas há ações que estão disponíveis na maioria dos modelos de marcas principais. No app do Roborock e do Mi Home (Xiaomi), é possível desativar o envio de dados de uso não essenciais, deletar o histórico de limpeza manualmente e optar por não salvar os mapas na nuvem em alguns modelos mais recentes que permitem mapeamento local.

Para modelos com câmera, verifique se o app permite desativar a câmera quando o robô está limpando sem supervisão. Alguns modelos ativam a câmera apenas quando o usuário solicita via app, outros a mantêm ativa durante toda a sessão de limpeza.

Desconectar o robô do Wi-Fi depois da limpeza é uma medida simples que elimina a coleta contínua. A maioria das funções locais, como agendamento básico e modos de limpeza, funciona sem conexão ativa depois que o mapa está salvo. A integração com assistentes de voz e o controle remoto pelo app exigem conexão, mas para quem usa o robô com agendamento fixo e não controla remotamente, o Wi-Fi só precisa estar ativo durante atualizações de firmware.

O que a LGPD cobre nesse contexto

A Lei Geral de Proteção de Dados (LGPD) se aplica a empresas que operam no Brasil ou tratam dados de residentes brasileiros, o que inclui Xiaomi, Roborock e Ecovacs pela presença comercial no país. Pela LGPD, o usuário tem direito a saber quais dados são coletados, solicitar a exclusão dos dados pessoais e revogar o consentimento de coleta.

Na prática, o exercício desses direitos com fabricantes chineses ainda tem pouca rastreabilidade. A ANPD (Autoridade Nacional de Proteção de Dados) ainda está consolidando sua capacidade de fiscalização de empresas estrangeiras. Para o usuário, a proteção mais concreta por enquanto é a configuração manual do próprio app e a escolha por marcas com política de privacidade pública, auditada e em português.

Willian Oliveira
Willian Oliveira
Editor — Mundo dos Aspiradores

Redator de Gadgets para casa há mais de 12 anos. Mineiro, apaixonado por tecnologia e por ter o menor esforço possível na hora de limpar a casa.