Como o GDPR e a Lei de Dados Pessoais impactam projetos de IoT

Com o crescimento expressivo de novas tecnologias e a inserção delas no dia a dia das pessoas em diversos momentos, fica cada vez mais fácil coletar dados visando a um maior conhecimento sobre o consumidor e o seu próprio negócio. Uma das principais tecnologias usada nesse processo é a internet das coisas (IoT), que, por meio de sensores, possibilita a captura de dados em inúmeros lugares.

No entanto, esse cenário enfrenta novos desafios com o General Data Protection Regulation (GDPR), lei europeia que entrou em vigor em maio deste ano e garante a privacidade das informações de cidadãos europeus em qualquer lugar do mundo e, mais recentemente, com a lei de dados pessoais, aprovada no Senado Brasileiro no último dia 10.

Mais do que atualizar os termos de prestação de serviços, as empresas que trabalham com internet das coisas precisam estabelecer processos que atendam a todos os requisitos das leis, como autorização para captura dos dados, entrega das informações completas mediante solicitação, direito de ser esquecido, criptografia das informações armazenadas e, até mesmo, portabilidade dos dados de uma empresa à outra. Para isso, o primeiro passo é ter ciência dos dados que são capturados e processados – de forma direta e indireta -, quem pode acessá-los e a criticidade de cada um deles.

Além dessa reflexão em cima dos dados, um dos desafios para os projetos de IoT é a proibição do desvio de propósito. Até então, muitas organizações comercializavam ou compartilhavam as informações capturadas com outras empresas, no entanto, isso agora é proibido e sujeito à multa.

Ou seja, as empresas precisam declarar no termo de prestação de serviços, que deverão ser mais simples, específicos e granulares, quais dados serão obtidos, o objetivo e o porquê da coleta de forma explícita.

Um exemplo claro desse modelo é o setor de seguros. Muitas seguradoras já instalam um sensor nos carros para dar desconto aos clientes com base no perfil de direção deles, horário de uso do carro e regiões por onde passam.

No entanto, alguns meses depois de instalar o dispositivo, começam a enviar promoções ou descontos em uma loja do shopping que você frequenta toda semana. Isso, assim como o que aconteceu no caso da Cambridge Analytica, é um claro desvio de propósito e não poderá mais acontecer.

Outro desafio é a possibilidade de qualquer cidadão proibir a coleta de dados sobre si em qualquer circunstância, inclusive suas emoções. Imagine o impacto disso em uma cidade inteligente que utiliza um sistema de câmeras de CCTV para monitorar os acontecimentos no município de forma a manter a ordem, prevenir fraudes ou outras atividades criminosas e garantir a proteção ao cidadão.

A partir de agora, os cidadãos precisam concordar por meio de validações no celular, via QR code ou outra forma de permissão. Além disso, quando uma pessoa pede para não ser identificada, a empresa responsável pela rede de câmeras e todas as outras organizações envolvidas no processo precisam ser capazes de excluir a trilha de dados referentes a ela e não a capturar mais. Isso não só é difícil de ser feito na prática, mas também tem implicações para manutenção da cidade – objetivo do projeto de IoT.

Mais do que isso, como as novas leis exigem que as pessoas autorizem a coleta de dados e permite que elas retirem esse consentimento a qualquer hora, é importante lembrar que, nesses casos, não só a empresa que coletou o dado, mas também todos os seus fornecedores devem remover as informações sobre a pessoa.

Esse fator se torna ainda mais complexo quando falamos de IoT, em que existem inúmeros envolvidos entre o sensor de coleta de dados e a plataforma que os analisa.

Além disso, as empresas que atuam com IoT precisam se preocupar com a privacidade by design. Atualmente, há uma discussão em torno da segurança by design visando o envolvimento de profissionais do setor e o uso de requisitos de segurança desse a etapa de design do produto. No caso da internet das coisas, os requisitos de segurança e privacidade precisam ser incorporados ao design original de dispositivos, redes e sistemas que transmitem e processam os dados.

O GDPR, e agora a legislação brasileira de Dados Pessoais, caso sancionada, trazem novos desafios aos projetos de IoT, porém, nenhum deles é intransponível. Além disso, os recentes escândalos aumentaram a preocupação dos consumidores em relação à transparência e as empresas que se esforçarem para proteger os dados dos seus clientes se beneficiarão da confiança deles.

Para isso, é necessário pensar seriamente sobre segurança e privacidade desde o início do projeto e contar com fabricantes e operadoras de rede que investem nisso desde o design de seus produtos.

Fonte: Computerworld