A Internet das Coisas (ou IoT – Internet of Things) é composta pela conexão de diversos itens do dia-a-dia à internet, é a interação contínua entre dispositivos inteligentes, sensores e pessoas, como por exemplo celulares, televisores, relógios, sensores cardíacos, câmeras de segurança, dentre outros. Há uma forte tendência para que em poucos anos as casas sejam totalmente automatizadas, com diversos dispositivos e eletrodomésticos conectados a softwares, desde televisores, lâmpadas, geladeira, até cafeteiras e torradeiras.
Porém, apesar deste fenômeno se demonstrar inovador e revolucionário, tais dispositivos apresentam grande vulnerabilidade quanto à segurança dos dados pessoais. Por realizarem o tratamento dos dados em grande escala e pela capacidade de conexões em bluetooth e Wi-fi, podem possibilitar ataques de invasores através de outros dispositivos fora da rede, por acesso remoto, colocando em risco a integridade, disponibilidade e confidencialidade das informações.
Atualmente a informação é extremamente valiosa, os dados representam aprimoramento de bens e serviços e se tornaram um novo modelo de negócio, o que causou a necessidade de regulamentação específica visando a proteção destes ativos, a Lei Geral de Proteção de Dados Pessoais no Brasil. A LGPD causará uma grande revolução na maneira com que as empresas realizam tratamento de dados pessoais, desde a coleta, utilização, armazenamento, até a forma de descarte será regulamentada, desde a concepção (privacy by design) e por padrão (privacy by default). O grande desafio, portanto, é a garantia da privacidade e segurança dos dados pessoais dos titulares, porém sem prejudicar o desenvolvimento de inovações tecnológicas.
Sendo assim, de que forma pode ser aplicada a IoT garantindo conformidade à Lei Geral de Proteção de Dados e segurança aos ativos de informação envolvidos no tratamento?
A ideia do “privacy by design” é balizar as empresas para que os riscos de segurança e privacidade sejam antecipados desde o desenvolvimento das soluções e criações de produtos ou serviços, ou seja, seja feita uma avaliação de impacto dos riscos do tratamento com relação aos dados pessoais submetidos ao tratamento, para atribuição de controles de privacidade padronizados para todo o ciclo da informação (privacy by default).
A Lei Geral de Proteção de Dados Pessoais prevê a elaboração de Relatórios de Impacto para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais e no caso da IoT há um elevado risco aos direitos de liberdade e privacidade da pessoa natural, sendo indispensável a avaliação destes potenciais impactos antes da efetiva aplicação destas funcionalidades.
Para uma avaliação de impacto detalhada, deve-se identificar e classificar os dados tratados por níveis de sensibilidade para que sejam definidos padrões no tratamento com base no resultado da avaliação, o que pode ser um grande desafio quando se trata de Internet das Coisas, em razão do processamento de dados em grande volume (big data), incluindo de possíveis dados sensíveis, sendo necessário estabelecer diretrizes de categorias de dados para submeter a aplicação à uma avaliação de impacto adequada e para que sejam definidos controles e políticas de segurança e proteção dos dados pessoais envolvidos ao tratamento.
Dessa forma, para a aplicação da Internet das Coisa, que é uma infraestrutura extremamente útil e prática, mas também apresenta certo risco à proteção dos dados pessoais em razão do processamento de enorme quantidade de informações em rápida velocidade e comunicação de diversos bancos de dados para interação dos dispositivos entre si, sendo necessário estabelecer políticas e controles de segurança adequados ao tratamento de acordo com critério de sensibilidade dos dados, com base em uma avaliação de impacto dos riscos, antes mesmo da efetiva aplicação e constantemente, sempre que houverem atualizações.
Identificar os riscos e aplicar os métodos de segurança adequados à proteção de dados pessoais é um desafio tanto técnico quanto jurídico, já que desde a fase de desenvolvimento de um software devem ser observados os critérios legais estabelecidos, para que o tratamento dos dados esteja em conformidade à LGPD durante todo o ciclo da informação (privacy by design and privacy by default), de forma que os titulares tenham maior confiança quanto a segurança dos próprios dados pessoais, a transparência com relação ao tratamento transmita maior credibilidade às novas tecnologias que surgem com a IOT e assim, consequentemente, haverá maior incentivo ao desenvolvimento tecnológico na sociedade brasileira.