A Lei Geral de Proteção de Dados (LGPD) e os dispositivos de smart homes parecem ter um grande desafio pela frente. voltando um pouco atrás, desde a virada do século e da popularização da internet, surgiram inúmeros projetos para criar circuitos automatizados e aumentar o nível de conforto e praticidade do usuário.
Existem dois tipos de casas que utilizam da tecnologia IoT: a casa “conectada” e a casa “inteligente”. Ambas funcionam com equipamentos inteligentes e integrados entre si, que conseguem identificar uma necessidade e apresentar uma resposta imediata.
Conforme os dados do último censo realizado pelo IBGE, existem hoje cerca de 1,26 telefones celulares para cada habitante no Brasil e, de acordo com uma pesquisa realizada pela FGV há mais de 424 milhões de dispositivos digitais – computador, notebook, tablet e smartphone -, em uso no nosso território. Estas informações revelam um comportamento de transformação digital da sociedade atual, impulsionado por questões envolvendo Inteligência Analítica (Analytics), um “novo” ERP, Implementação e Integração, além de Governança de TI, Inteligência Artificial e a própria IoT .
Juntos com as inovações trazidas pela tecnologia IoT surgem diversos desafios, como é o caso do desenvolvimento de aplicações com linguagens compatíveis e interoperáveis, que sejam seguras, impedindo o vazamento das informações, respeitando as boas práticas de segurança da informação, garantindo a preservação da privacidade e dos dados pessoais, especialmente após a vigência da Lei Geral de Proteção de Dados (LGPD).
Embora tenha sido publicada em 2018 e em vigência desde 2020, muitas empresas ainda não iniciaram seus processos de adequação à LGPD, que regulamenta a utilização de dados pessoais e de dados pessoais sensíveis por todas e quaisquer pessoas físicas ou jurídicas que os utilizem com a finalidade econômica e tem como objetivo principal a proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
No Brasil, o direito à privacidade tem garantia constitucional e está previsto em outros diplomas legais, mas as regulações específicas ampliam a segurança jurídica dos titulares de dados pessoais, seja na comunicação, nas relações sociais ou de consumo dentro da sociedade da informação em rede, na qual a maioria das ações do humanas, movidas por clicks, são transformadas em dados.
Privacy by design e seus desafios
Pela ótica da proteção dos dados, antes de colocar qualquer produto ou serviço à disposição do público, a empresa deve garantir que medidas de segurança suficientes tenham sido implementadas para impedir eventuais incidentes de segurança. Os artigos 46 e 50, da LGPD, dispõem sobre a aplicação do privacy by design e do estabelecimento de regras de boas práticas e governança, tais como a utilização de padrões técnicos, para a mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
O privacy by design é um termo utilizado para se referir à privacidade por concepção, ou seja, desde a ideia do novo negócio, serviço ou produto que se interrelacionam com algo que ainda será criado. É a utilização de medidas técnicas, físicas e organizacionais adequadas para garantir que toda e qualquer operação que seja realizada e envolva o tratamento de dados pessoais seja desenvolvida considerando todas as requisições da LGPD. Estas medidas devem ser adotadas desde as etapas de levantamento de custos de implementação, da natureza, do objetivo, do contexto e da finalidade do tratamento. Estas práticas, inclusive, deverão ser informadas aos titulares para cumprir o princípio da transparência.
Em adição ao privacy by design, temos também o privacy by default o qual estabelece que assim que um produto ou serviço for lançado ao público, as configurações mais seguras de privacidade deverão ser aplicadas. São medidas de segurança que devem ser implementadas após o lançamento do produto ou serviço. É a garantia de que apenas os dados pessoais estritamente necessários para atingir certa finalidade sejam coletados, utilizados, armazenados e excluídos de maneira adequada.
Assim, pensando no cenário de uma casa inteligente e totalmente conectada e interligada entre si, ter um refrigerador que conheça os seus hábitos de consumo e, esteja devidamente programado com suas preferências, poderá possibilitar que suas compras no supermercado sejam realizadas a partir de uma simples constatação de que determinado produto está diminuindo ou em falta no seu estoque. Uma vez conectado a um aplicativo, uma lista de compras é gerada automaticamente e em questão de pouco tempo, a sua campainha poderá tocar com a entrega dos produtos adquiridos.
Para que essa integração seja possível, é necessário que os dados de compra (como o cartão de crédito, por exemplo) estejam cadastrados e previamente disponíveis no aplicativo, assim como o endereço de entrega.
Agora, imaginem se essas informações não estiverem devidamente protegidas na rede e permitir que cheguem ao conhecimento de um terceiro, que por conta de uma brecha no site da loja em que foi realizada a compra ou nos sistemas e aplicativos utilizados, gerando um incidente de segurança e a exposição de perfis de consumo de determinada pessoa. Isso pode ocasionar um problema gigantesco e com vários envolvidos. Não apenas a empresa responsável pela programação da tecnologia de automação e integração dos dispositivos, mas também os e-commerces onde as transações foram realizadas.
A LGPD traz no seu art. 42 que os agentes de tratamento ficam obrigados a reparar os danos causados aos titulares, sejam eles de natureza patrimonial ou extrapatrimonial. Além disso, a depender da situação concreta, esta responsabilidade poderá ser solidária, que somente será afastada se o agente de tratamento comprovar que (i) não realizou a atividade de tratamento, (ii) que realizando a atividade, não teve violação à LGPD, ou (iii) que o dano ocasionado se deu por culpa exclusiva do titular ou de terceiro.
Deve-se ter em mente, outrossim, que uma atividade de tratamento poderá ser considerada irregular quando deixar de observar a legislação ou não fornecer ao titular a segurança que ele espera. Nesse sentido, considerando os exemplos apresentados, se o tratamento de dados acontece sem estar fundamentado em uma base legal, descumprindo os princípios da legislação ou sem implementar as medidas de segurança adequadas para preservar a confidencialidade, integridade e disponibilidade dos dados pessoais, ele certamente irá trazer riscos para a atividade e gerar a responsabilização dos agentes de tratamento.
Embora o usuário de uma smart home tenha a expectativa de que seus dispositivos (alimentados com dados) estejam integrados entre si, também faz parte deste contexto que a privacidade das informações e destes dados sejam garantidas. Mediante a utilização de sensores, código e infraestrutura, qualquer objeto pode se tornar uma rede e é necessário criar mecanismos que mitiguem os riscos de invasão da intimidade e do uso indevido de dados coletados nestes ambientes.
Transparência é ponto importante em LGPD
O tratamento de dados sem o consentimento ou conhecimento expresso do usuário afeta a transparência das relações e afasta o usuário do centro e do comando decisório. Com o advento da LGPD, o ditado “quanto mais melhor” não se aplica mais nas situações em que envolve o tratamento de dados pessoais. A minimização deve ser garantida e a privacidade por padrão deve ser respeitada.
Há relatos conhecidos de alguns aparelhos que podem colocar a privacidade de seus usuários e serem utilizados por cibercriminosos. A verdade é que qualquer equipamento que estiver conectado a uma rede de internet está sujeito a ser invadido, mas aparelhos que registram imagens e voz (como câmeras inteligentes e babás eletrônicas), além da possibilidade de vazamento de dados, também podem dar acesso para terceiros espionarem a sua casa.
Dados de uma pesquisa realizada em 2016 pela Consultoria Teleco indica que o Brasil poderá ter 100 milhões de objetos conectados em 2025, excluindo desta conta tablets e smartphones. Esse número pode dobrar se algumas questões regulatórias e tributárias vierem a ser reduzidas. Estes números acendem o alerta sobre a utilização de medidas efetivas para conter possíveis incidentes de segurança, isso porque, em um levantamento feito pela Fortinet, especializada em cibersegurança, indica um aumento de 950% se comparado com o ano de 2020, nas tentativas de ataques cibernéticos no Brasil em 2021.
Ao todo, foram cerca de 88,5 bilhões de tentativas, deixando o Brasil atrás apenas do México, que somou 156 bilhões de ataques. Um ponto interessante apresentado pelo relatório é o crescimento de ataques do tipo Remote Code Execution (RCE), em que aparelhos de smart homes, conectados pela tecnologia IoT, são o alvo preferencial dos cibercriminosos, que exploram vulnerabilidades em câmeras, fechaduras e lâmpadas inteligentes.
Por esta razão é importante manter um Programa de Governança, com foco em Cibersegurança, Privacidade e Proteção de Dados, para salvaguardar os dispositivos que estão integrados à uma rede alimentada por IoT.
Nesse sentido, algumas recomendações devem ser seguidas para aumentar o nível de segurança dos dados pessoais que possam trafegar neste circuito, dentre as quais podemos citar: (i) ter uma plataforma própria e segura; (ii) adotar certificados SSL com criptografia dos dados; (iii) realizar testes de penetração de forma recorrente; (iv) manter uma política de aceitação apenas de senhas fortes; (v) realização periódica de backups em locais seguros; (vi) implementação de políticas internas; e, (vii) adoção de security by design.
Por fim, mas não menos importante, destaque-se a necessidade de que todo o fluxo seja acompanhado de perto pelo Data Protection Officer (DPO ou Encarregado pela Proteção de Dados) da companhia, que será a pessoa responsável por fazer a gestão deste Programa de Governança e adotará medidas necessárias para ampliar o nível de segurança e de privacidade.
*Por Adalberto Fraga Veríssimo Junior – advogado, especialista em Direito Digital e Proteção de Dados pela EBRADI.
Assine a nossa newsletter e receba os melhores insights sobre experiência do cliente
+ Noticias
Mercado de luxo: preço alto eleva a experiência do consumidor?