out 16

O impacto da LGPD sobre a implementação da Internet das Coisas

É importante considerar quais tipos de informação são coletados, onde, como e quem tem acesso, bem como o plano de segurança estipulado

Em tempos de quarta revolução industrial, a internet of things (IoT) surgiu inovando a comunicação. Tal tecnologia gera uma hiperconectividade, aumentando a integração entre (i) internet e pessoas; (ii) internet e dispositivos eletrônicos e, consequentemente; (iii) entre pessoas e pessoas. Novas tecnologias viabilizam controlar remotamente objetos e acessá-los como provedores de serviços, tornando-os inteligentes pela capacidade de comunicação e processamento aliados a sensores. Desse modo, dispositivos conectados via internet entre si, realizam, pelas pessoas, atividades cotidianas.

Com isso, a diversidade de atividades em uma mesma transação abre portas para a associação de formas distintas de serviços, comunicações e mercadorias. Ao mesmo tempo, contudo, este novo ambiente gera desafios e controvérsias jurídicas. Assim, entra em destaque a segurança dos dados coletados e a questão da privacidade e do compartilhamento desses. Isso pois, com uma quantidade expressiva de dispositivos conectados, que geram quantias massivas de dados, como as empresas inseridas nesse contexto se portam diante das imposições da Lei nº 13709/2018 (Lei Geral de Proteção de Dados – LGPD) sem tornar economicamente inviável a implementação da IoT no país?

Podemos identificar alguns obstáculos gerados pela LGPD às empresas de IoT. Primeiramente, considerando que o uso de dados pessoais agora se pauta, antes de tudo, no consentimento do usuário, obtido de maneira clara, simples, objetiva e especificando a maneira como os dados serão tratados e com qual finalidade, esta exigência se torna um entrave para muitos aplicativos de IoT. Como esses dispositivos têm o objetivo de agrupar informações e processá-las para, a partir daí tomar uma decisão, a necessidade do consentimento do usuário inviabiliza o aproveitamento dos benefícios trazidos pela tecnologia. Tal exigência, para cada forma de tratamento a ser realizada, resulta em trocas de dados na rede demasiadamente complexas e na redundância dos benefícios da maioria desses aplicativos. Nessa toada, a cada atualização dos softwares que moldam essa rede, a necessidade do consentimento leva à interrupção do fluxo de dados entre os dispositivos conectados.

Somado a isso, a LGPD garante aos usuários o direito de solicitar informações sobre o tratamento de seus dados, a eliminação desses, e até mesmo a portabilidade para outra companhia. Isso faz com que as empresas devam armazenar todas as informações sobre o processamento dos fatos desse usuário, além do seu consentimento, como forma de garantir e evidenciar o cumprimento da referida lei.

Portanto, toda empresa que realize esse tipo de atividade deve se organizar de maneira que saiba onde e como os dados pessoais foram obtidos e manipulados. Além disso, devem estar preparadas para disponibilizar, de forma imediata, relatórios sobre tais ações, quando solicitadas pelos titulares. No entanto, em se tratando de Internet das Coisas, como o intercâmbio de dados é o insumo para a efetivação dos seus objetivos, a implementação da referida exigência gera um alto custo às empresas, que devem investir em setores de monitoramento e armazenamento dos dados de cada consumidor nas mais diversas funcionalidades que ocorrem em simultaneidade nesse ambiente.

Nessa linha, outro fator contravertido concerne à segurança dos dados pessoais coletados. Por exemplo, em agosto de 2017, 465 mil americanos foram notificados de que precisariam atualizar seus aparelhos “marca-passo” sob o risco de terem o coração invadido por hackers. Os aparelhos eram conectados à internet e a ideia era que o marca-passo enviasse dados por Wi-Fi para clínicas e médicos que monitorariam os pacientes. Ocorre que os dispositivos precisavam ser atualizados, pois poderiam ser acessados por partes estranhas não autorizadas, que poderiam alterar o seu funcionamento, gerando risco de vida aos usuários. Devido a isso, foi solicitado o recall desses produtos.

Tal situação evidencia o fato de não existir padronização nas regras de implementação da segurança nos dispositivos integrantes da IoT, possibilitando a ocorrência de ataques externos. A LGPD, com o intuito de evitar ataques como esse e de promover maior precaução de companhias com a segurança de dados pessoais coletados, instituiu que qualquer violação de segurança dessas informações deve ser relatada imediatamente às autoridades e aos usuários, assim como os riscos aos direitos e liberdades dos indivíduos.

Caso não sejam tomadas estas providências, a empresa está sujeita à multa simples ou diária de até 2% do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Eventualmente, pode haver ainda o bloqueio de dados pessoais a que se refere a infração até a sua regularização, ou a proibição do exercício de atividades relacionadas a tratamento de dados, ou seja, do funcionamento da rede de IoT. Todavia, para que tal exigência seja cumprida é necessário que haja o monitoramento em tempo real dos dispositivos, o que demanda investimento e infraestrutura. Por consequência, o aumento do custo de implementação dessa tecnologia sobe no país, podendo afastar novos investimentos.

Logo, para as empresas do ramo de IoT, uma possível forma de contornar essas questões e evitar grandes dispêndios no cumprimento dos regramentos impostos pela LGPD, viabilizando economicamente a atividade, seria reforçar a classificação de dados nas políticas de segurança das empresas. Com isso, os dados seriam classificados qualitativamente antes de iniciado o tratamento, de forma a respeitar a privacidade e segurança das informações dos clientes. Ações como esta representam importante caminho para delimitação do nível de seguridade de cada dado coletado e organização do que pode ou não ser acessado por terceiros. No mais, como dispositivos de IoT são considerados um alvo fácil para hackers, outra solução necessária é a adoção de estratégias de mitigação dos riscos nos casos de ataque, com o objetivo de reduzir os impactos do dano sobre os usuários, assim como da multa que tal hipótese pode gerar.Em suma, é importante considerar quais os tipos de informação são coletados, onde, como e quem tem acesso, bem como o plano de segurança estipulado, já que, havendo o entendimento desses fatores, é possível se adaptar às exigências da LGPD e preencher as lacunas nas políticas de privacidade da Internet das Coisas.

FONTE: JOTA