* Por Gabriela Brum Davoli
Diante da chegada da covid-19 e da necessidade de evitar o contágio do vírus, o mundo se deparou com a necessidade de buscar meios eficazes para evitar que as pessoas saíssem de casa, bem como de conferir segurança para que os profissionais pudessem voltar para suas atividades o quanto antes e com menor risco possível. Consequentemente, ao mesmo tempo em que essa realidade aproximou os indivíduos de temas relacionados à vida doméstica, fez com que empresas investissem em tecnologia para criar mecanismos para o retorno seguro às atividades de trabalho.
Tanto dentro quanto fora de casa, percebe-se a presença de aplicativos que envolvem desde aplicações domésticas, como controle remoto de objetos, até aplicações em ambientes externos como sensores de temperatura que utilizam a Internet das Coisas (Internet of Things – IoT). Para essa série, escolhemos abordar assuntos que, em um primeiro momento, estarão mais ligados ao ambiente doméstico e à vida em quarentena, como a utilização da tecnologia dentro de casa e a potencial influência da utilização dessa tecnologia em resposta aos prejuízos causados pela pandemia do coronavírus.
Com o decorrer do tempo, diante da possível flexibilização da quarentena e da crescente expectativa de retorno à antiga realidade, serão cada vez mais debatidos tópicos relacionados à vida externa, partindo-se de uma visão de utilização da tecnologia a favor dos direitos humanos. O objetivo aqui é trazer uma reflexão sobre os impactos que a tecnologia tem trazido para a vida em quarentena e para esses direitos, e sobre como ela pode ajudar nas próximas etapas de retomada da economia e da vida em sociedade.
IoT
Um dos resultados dessa intersecção da tecnologia com o cotidiano das pessoas é a Internet das Coisas – ou Internet of Things (IoT) em inglês. Por ela são englobados os pontos acima dispostos, tanto indoor quanto outdoor. Conhece-se como IoT toda a tecnologia que permite conectar o mundo real e o mundo virtual, sendo tal expressão comumente usada para designar os objetos conectados à internet.
Com as infinitas possibilidades que esse tipo de tecnologia pode oferecer à sociedade, bem como os benefícios econômicos que o seu desenvolvimento pode proporcionar, os países têm investido cada vez mais na sua implementação. Nesse sentido, referida implementação é inclusive considerada como uma das medidas auxiliares para a alcançar os Objetivos de Desenvolvimento Sustentável da Organização das Nações Unidas.
Levando em conta tais fatores, em 25 de junho de 2019, foi publicado o Decreto nº 9.854, que institui o Plano Nacional de Internet das Coisas no Brasil, o qual estabelece conceitos, diretrizes e dispõe sobre a Câmara de Internet das Coisas. O Decreto considera IoT como “a infraestrutura que integra a prestação de serviços de valor adicionado com capacidades de conexão física ou virtual de coisas com dispositivos baseados em tecnologias da informação e comunicação existentes e nas suas evoluções, com interoperabilidade”.
Como interoperabilidade, entende-se a característica referente à capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficiente. Essa característica proporciona, por exemplo, que sejam criados dispositivos capazes de, em conjunto com Inteligência Artificial, fazer diagnósticos prévios de maneira rápida e sem a necessidade de se aguardar pelo resultado de um exame.
Um bom exemplo dessa situação é a recente invenção da Universidade de Stanford, o sanitário inteligente. Trata-se de dispositivo de análises clínicas dos pacientes no seu cotidiano, capaz de descartar a necessidade de exames laboratoriais, consistente de um banheiro equipado com tecnologia que pode detectar uma série de marcadores inteligentes de doenças nas fezes e urina e até de alguns tipos de câncer.
Parece uma opção atraente para indivíduos geneticamente predispostos a certas condições de saúde e que desejam se manter atualizados sobre tais condições. Da mesma forma, parece um grande passo para o caminho pelo qual a tecnologia e a saúde provavelmente trilharão juntas.
Invenções como essas só são possíveis a partir da identificação de determinados padrões a partir da análise de dados, sendo que, para esta identificação, é preciso que haja o tratamento sistematizado de dados em grande escala. Diante dessas circunstâncias, faz-se necessária a reflexão sobre qual é o impacto que esse tipo de tratamento de dados pode ter na vida das pessoas e como as organizações podem avançar tecnologicamente de modo que esse impacto seja o menor possível.
Proteção de Dados
O Plano Nacional de Internet das Coisas define, em seu primeiro artigo, que terá como finalidade implementar e desenvolver a Internet das Coisas no país, com base na livre concorrência e na livre circulação de dados, observadas as diretrizes de segurança da informação e de proteção de dados pessoais. Deve-se então observar a Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe de princípios, orientações e regras relacionadas ao tratamento de dados pessoais, incluindo as penalidades em caso de descumprimento.
Entre os objetivos basilares da nova legislação de proteção de dados, estão a ampliação dos direitos de todos em relação aos seus dados pessoais e a maior responsabilização das organizações que realizam o tratamento de dados pessoais. Um dos principais fundamentos da legislação, além da preservação da privacidade das pessoas, é a definição destas como titulares dos dados pessoais, podendo exercer seus direitos em relação a essa titularidade frente a terceiros que fazem o tratamento das suas informações.
Por outro lado, se antes só havia uma base legal possível para o tratamento de dados pessoais em ambiente online, o consentimento, hoje, à LGPD possibilita outras nove hipóteses em seu artigo 7º. Frente a essas circunstâncias, vale a identificação de quais podem ser os desafios encontrados pelas empresas que desenvolvem IoT em relação ao tratamento de dados pessoais, bem como quais são as formas de mitigar os riscos encontrados para viabilizar o desenvolvimento seguro da tecnologia em conformidade com a legislação.
Desafios da aplicabilidade da IoT em conformidade com a legislação de proteção de dados
Imagine um dispositivo IoT que tenha a funcionalidade de ligar automaticamente as luzes ao final da tarde. Agora, imagine que, por algum motivo, o dispositivo foi programado para não ligar as luzes durante um feriado e que essas informações ficaram salvas em algum sistema conectado à internet. Pode se afirmar que, caso esse sistema tenha algum acesso indevido, pessoas não autorizadas podem se aproveitar da informação da provável ausência de alguém em casa para finalidades criminosas.
Há diversas situações como essa que ilustram os riscos aos quais os usuários estão expostos quando se fala em IoT. Em 2017, por exemplo, aproximadamente, 500 mil americanos receberam a informação de que precisariam atualizar seus dispositivos “marca-passo” em função de uma possível invasão do aparelho por hackers. Os dispositivos eram conectados à internet e precisaram ser atualizados para evitar que parassem de funcionar, de modo que os dispositivos tiveram que passar por um recall, colocando em risco a vida de seus usuários.
Problemas relacionados à segurança da informação e vazamento de dados são apenas um dos desafios encontrados quando se fala do tratamento de dados pessoais em grande escala para desenvolvimento de IoT em conformidade com a legislação. Outras questões encontradas podem incluir a falta de controle das informações pelos usuários; a dificuldade de se obter um consentimento válido dos usuários quando este consentimento é necessário – como no caso dos dados de saúde; o tratamento de dados pessoais gerados por inferência em relação aos dados originalmente tratados e o consequente uso de dados para fins diversos dos quais foram originalmente coletados; as definições de padrões de comportamento de forma intrusiva; e a dificuldade de anonimização de dados quando da utilização dos serviços.
Soma-se a essas questões a dificuldade de cumprir com os direitos dos titulares dos dados, como o de acesso às informações sobre o tratamento realizado, o da eliminação dos dados, bem como o da portabilidade dos dados para outras empresas. Todas essas circunstâncias geram custos à organização responsável pelo tratamento, uma vez que esta precisa armazenar todas as informações sobre o tratamento dos dados, além de manter efetiva governança e segurança sobre todo o tratamento realizado.
Adicionalmente, a empresa precisa ter bem definidas quais são as atividades de tratamento que pretende realizar e, assim, verificar sua viabilidade por meio da identificação de uma base legal para cada uma dessas atividades, além de ter documentada essa definição. Por fim, precisa garantir que todas as partes envolvidas no tratamento (titulares, operadores e cocontroladores) saibam quais informações estão sendo coletadas, para que estão sendo utilizadas e por quanto tempo serão armazenadas.
Além disso, a transparência é o ponto-chave para a conformidade com a LGPD. A principal medida para se garantir a transparência é a elaboração de Avisos e Políticas de Privacidade de forma objetiva e precisa em relação ao tratamento dos dados pessoais realizado.
Neste sentido, para se dar efetividade às disposições da LGPD, espera-se que mais orientações sobre como proceder no caso de tratamento de dados em grande escala, inclusive no caso da IoT, sejam indicadas pela Autoridade Nacional de Proteção de Dados. No entanto, é possível extrair de uma leitura objetiva da LGPD que, até referida entidade iniciar as suas atividades, as organizações já podem tomar algumas medidas capazes de promover a conformidade das suas atividades de tratamento de dados com a nova legislação.
Aliás, foi publicado o Decreto nº 10.474/20 que, entre outras medidas, aprovou a estrutura regimental da Autoridade Nacional de Proteção de Dados. Esta será responsável por apontar as diretrizes sobre o tratamento de dados pessoais no Brasil, inclusive mediante a edição de normas e procedimentos, o estabelecimento de protocolos de segurança e a aplicação de sanções às organizações que infringirem suas obrigações legais e regulatórias na área de proteção de dados.
A transparência e a viabilidade do desenvolvimento da IoT
Como soluções para viabilizar o desenvolvimento da IoT em conformidade com a LGPD, podem ser pontuadas as seguintes: (i) a compreensão das exigências da Lei; (ii) o desenvolvimento de uma estratégia de mitigação de riscos na concepção de novos produtos e serviços; (iii) a priorização da transparência no tratamento de dados; (iv) a consideração das limitações tecnológicas e de custos da organização; e (v) a indicação de um encarregado de proteção de dados pessoais pela organização.
Para o desenvolvimento de uma estratégia de mitigação de riscos, é necessário considerar os princípios de proteção de dados. Para tanto, as análises de Privacy by Design (PbD) e Privacy by Default podem ser uma boa alterativa.
Uma análise Privacy by Design consiste na avaliação de produtos, serviços e atividades de tratamento de dados pessoais levando em consideração os princípios e as regras da Lei desde a sua concepção até a sua implementação e o seu pleno funcionamento, a fim de: (i) identificar as medidas necessárias à adequação desses produtos e serviços à LGPD e, consequentemente; (ii) mitigar riscos decorrentes do tratamento de dados pessoais aos direitos e às liberdades dos titulares de dados.
A LGPD define que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como que tais medidas devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Já a análise Privacy by Default decorre da análise Privacy by Design na medida em que direcionará a configuração dos produtos e serviços, sempre partindo, por padrão, de formatos mais protetivos e menos invasivos para, apenas após interações livres dos titulares de dados, alcançar modelos que utilizem dados pessoais de forma mais acentuada. Nesta análise, é fundamental avaliar o volume de dados tratados, quais deles são estritamente necessários para o funcionamento e oferecimento do serviço/produto, a duração das atividades de tratamento, o período de retenção de dados pessoais etc.
Na prática, a análise PbD pode ser feita por meio da elaboração de resposta para os seguintes questionamentos relacionados aos princípios da Lei.
Já para o caso de atividades de tratamento já existentes e em desenvolvimento, nas quais se identifica potencial risco às liberdades civis e aos direitos fundamentais dos titulares, a Lei indica a possibilidade de elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Referido documento pode servir para a organização demonstrar boas práticas em tratamento de dados pessoais e identificar os seus processos mais relevantes e mais sensíveis, inclusive em atendimento ao princípio da prestação de contas (accountability).
Além disso, o RIPD pode ser exigido pela ANPD em algumas situações. Contudo, o conteúdo mínimo e a forma que o documento precisará ter nestes casos também estão pendentes de definição pela autoridade.
De qualquer forma, alguns questionamentos podem ser feitos para auxiliar nessa identificação como:
- Quais são os dados tratados?
- Para onde os dados são enviados?
- Foram identificadas as bases legais para cada atividade de tratamento?
- Com quem os dados são compartilhados?
- Esses parceiros/fornecedores estão em conformidade?
- Quantos titulares estão envolvidos no tratamento?
- Apenas as pessoas necessárias têm acesso a esses dados?
- Onde os dados são armazenados?
- Por quanto tempo os dados são armazenados?
- Qual é o nível de segurança dos dados ao serem transferidos e ao serem armazenados?
- Como os titulares serão notificados no caso de vazamento de dados?
- O tratamento gera algum prejuízo às liberdades civis ou aos direitos fundamentais dos titulares?
A partir da elaboração de um RIPD, será possível indicar as medidas de mitigação de riscos necessárias para o tratamento dos dados envolvidos no funcionamento de dispositivos de IoT, como medidas relacionadas à segurança dos sistemas (ex. utilização de criptografia), até medidas que confiram maior transparência ao usuário (ex. política de privacidade) e que possibilitem a gestão dos dados pelo próprio titular (ex. gestão do consentimento). Assim, será possível o desenvolvimento de novos produtos e serviços de IoT já em conformidade com as boas práticas de proteção de dados pessoais, bem como a análise daquelas atividades já existentes e a indicação de mitigação de riscos para que tais soluções possam ser consideradas adequadas.
Considerações finais
Sem dúvidas, o desenvolvimento da IoT tem facilitado algumas das atividades mais comuns do dia a dia, ao mesmo tempo que tem contribuído para o avanço tecnológico das mais diversas áreas de pesquisa. Consequentemente, a publicação do Plano Nacional de Internet das Coisas é um importante avanço para que o país possa progredir nesse sentido.
Para que esse avanço ocorra de forma adequada, especialmente considerando a recente entrada em vigor da Lei de Proteção de Dados Pessoais, é necessário que as organizações levem em consideração os princípios de proteção de dados pessoais e os direitos das pessoas sobre seus dados no momento de avaliação das suas atividades. Dessa maneira, organizações do ramo devem se preparar para realização de análises sob o viés da proteção de dados no momento da concepção de produtos e serviços, bem como no momento de avaliação daqueles produtos e serviços já existentes.
Esse material contém conteúdo meramente informativo, e não deve ser entendido como um aconselhamento ou orientação jurídica específica. Cada modelo de negócio tem suas peculiaridades e implicações, de modo que recomendamos que as organizações sempre procurem o auxílio de um advogado de sua confiança para o acompanhamento dos aspectos jurídicos para o desenvolvimento de novos produtos e serviços de IoT.
* Gabriela Brum Davoli é graduada em Direito pela Universidade Federal do Rio Grande do Sul (UFRGS). Com experiência na área de Contencioso Cível, Gabriela se interessou pela área de Proteção de Dados ainda em 2018. Logo após a graduação, em 2019, veio para São Paulo com intuito de direcionar seus estudos na área realizando o curso do DataPrivacy Brasil sobre privacidade e proteção de dados. Atualmente, auxilia em diversos projetos de adequação à LGPD e consultas sobre o tema.