Um dos benefícios proporcionados pelo avanço da tecnologia é a possibilidade de integração entre dispositivos móveis e equipamentos eletroeletrônicos, que são conectados por uma rede de internet, criando uma fusão entre o mundo físico e o mundo digital.
Essa inovação tecnológica é possível por conta da criação de sistemas, que permitem a automação residencial ou industrial, e da evolução dos dispositivos, proporcionando maior comodidade, economia, segurança e conforto aos usuários, mediante uma aplicação chamada por Internet das Coisas (em inglês Internet of Things ou IoT).
Essa tecnologia, embora tenha se propagado nos últimos tempos com o avanço da tecnologia 5G, não é um conceito novo¹. Desde a virada do século e da popularização da internet, surgiram inúmeros projetos para criar circuitos automatizados e aumentar o nível de conforto e praticidade do usuário.
Existem dois tipos de casas que utilizam da tecnologia IoT: a casa “conectada”² e a casa “inteligente”³. Ambas funcionam com equipamentos inteligentes e integrados entre si, que conseguem identificar uma necessidade e apresentar uma resposta imediata4.
Conforme os dados do último censo realizado pelo IBGE, existem hoje aproximadamente 1,26 telefones celulares para cada habitante no Brasil e, de acordo com uma pesquisa realizada pela FGV, há mais de 424 milhões de dispositivos digitais – computador, notebook, tablet e smartphone – em uso no nosso território.
Essas informações revelam um comportamento de transformação digital da sociedade atual, impulsionado por questões envolvendo inteligência analítica (Analytics), um “novo” ERP, implementação e integração, além de governança de TI, inteligência artificial e a própria IoT .
Inovações trazem desafios
Junto com as inovações trazidas pela tecnologia IoT surgem diversos desafios, como é o caso do desenvolvimento de aplicações com linguagens compatíveis e interoperáveis, que sejam seguras, impedindo o vazamento das informações, respeitando as boas práticas de segurança da informação, garantindo a preservação da privacidade e dos dados pessoais, especialmente após a vigência da Lei Geral de Proteção de Dados (LGPD).
Embora tenha sido publicada em 2018 e em vigência desde 2020, muitas empresas ainda não iniciaram seus processos de adequação à LGPD, que regulamenta a utilização de dados pessoais e sensíveis por todas e quaisquer pessoas físicas ou jurídicas que os utilizem com a finalidade econômica e que têm como objetivo principal a proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
No Brasil, o direito à privacidade tem garantia constitucional e está previsto em outros diplomas legais, mas as regulações específicas ampliam a segurança jurídica dos titulares de dados pessoais, seja na comunicação, nas relações sociais ou de consumo dentro da sociedade da informação em rede, na qual a maioria das ações do humanas, movidas por clicks, são transformadas em dados.
Pela ótica da proteção dos dados, antes de colocar qualquer produto ou serviço à disposição do público, a empresa deve garantir que medidas de segurança suficientes tenham sido implementadas para impedir eventuais incidentes de segurança.
Os artigos 46 e 50, da LGPD, dispõem sobre a aplicação do privacy by design e do estabelecimento de regras de boas práticas e governança, tais como a utilização de padrões técnicos para a mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Privacy by design e privacy by default
O privacy by design é um termo utilizado para se referir à privacidade por concepção, ou seja, desde a ideia do novo negócio, serviço ou produto que se interrelaciona com algo que ainda será criado. É a utilização de medidas técnicas, físicas e organizacionais adequadas para garantir que toda e qualquer operação que seja realizada e envolva o tratamento de dados pessoais seja desenvolvida considerando todas as requisições da LGPD.
Essas medidas devem ser adotadas desde as etapas de levantamento de custos de implementação, da natureza, do objetivo, do contexto e da finalidade do tratamento. Essas práticas, inclusive, deverão ser informadas aos titulares para cumprir o princípio da transparência.
Em adição ao privacy by design, temos também o privacy by default, o qual estabelece que assim que um produto ou serviço for lançado ao público, as configurações mais seguras de privacidade deverão ser aplicadas. São medidas de segurança que devem ser implementadas após o lançamento do produto ou serviço.
É a garantia de que apenas os dados pessoais estritamente necessários para atingir certa finalidade sejam coletados, utilizados, armazenados e excluídos de maneira adequada.
Integração para uma casa inteligente
Assim, pensando no cenário de uma casa inteligente e totalmente conectada e interligada entre si, ter um refrigerador que conheça os seus hábitos de consumo, e que esteja devidamente programado com suas preferências, poderá possibilitar que suas compras no supermercado sejam realizadas a partir de uma simples constatação de que determinado produto está diminuindo ou em falta no seu estoque.
Uma vez conectado a um aplicativo, uma lista de compras é gerada automaticamente e em questão de pouco tempo, a sua campainha poderá tocar com a entrega dos produtos adquiridos.
Para que essa integração seja possível, é necessário que os dados de compra (como o cartão de crédito) estejam cadastrados e previamente disponíveis no aplicativo, assim como o endereço de entrega.
Agora, imaginem se essas informações não estiverem devidamente protegidas na rede e cheguem ao conhecimento de um terceiro, por conta de uma brecha no site da loja em que foi realizada a compra ou nos sistemas e aplicativos utilizados, gerando um incidente de segurança e a exposição de perfis de consumo de determinada pessoa.
Isso pode ocasionar um problema gigantesco e com vários envolvidos. Não apenas a empresa responsável pela programação da tecnologia de automação e integração dos dispositivos, mas também os e-commerces onde as transações foram realizadas.
LGPD e segurança de dados
A LGPD traz no seu art. 42 que os agentes de tratamento ficam obrigados a reparar os danos causados aos titulares, sejam eles de natureza patrimonial ou extrapatrimonial.
Além disso, a depender da situação concreta, essa responsabilidade poderá ser solidária, que somente será afastada se o agente de tratamento comprovar que (i) não realizou a atividade de tratamento, (ii) que realizando a atividade não teve violação à LGPD, ou (iii) que o dano ocasionado se deu por culpa exclusiva do titular ou de terceiro.
Deve-se ter em mente, outrossim, que uma atividade de tratamento poderá ser considerada irregular quando deixar de observar a legislação ou não fornecer ao titular a segurança que ele espera.
Nesse sentido, considerando os exemplos apresentados, se o tratamento de dados acontece sem estar fundamentado em uma base legal, descumprindo os princípios da legislação ou sem implementar as medidas de segurança adequadas para preservar a confidencialidade, a integridade e a disponibilidade dos dados pessoais, ele certamente irá trazer riscos para a atividade e gerar a responsabilização dos agentes de tratamento.
Embora o usuário de uma smart home tenha a expectativa de que seus dispositivos (alimentados com dados) estejam integrados entre si, também faz parte desse contexto que a privacidade das informações e desses dados sejam garantidas.
Mediante a utilização de sensores, código e infraestrutura, qualquer objeto pode se tornar uma rede e é necessário criar mecanismos que mitiguem os riscos de invasão da intimidade e do uso indevido de dados coletados nesses ambientes.
O tratamento de dados sem o consentimento ou conhecimento expresso do usuário afeta a transparência das relações e afasta o usuário do centro e do comando decisório. Com o advento da LGPD, o ditado “quanto mais melhor” não se aplica mais às situações que envolvem o tratamento de dados pessoais. A minimização deve ser garantida e a privacidade por padrão deve ser respeitada.
Privacidade em risco
Há relatos conhecidos de alguns aparelhos que podem colocar a privacidade de seus usuários e serem utilizados por cibercriminosos. A verdade é que qualquer equipamento que estiver conectado a uma rede de internet está sujeito a ser invadido, mas aparelhos que registram imagens e voz (como câmeras inteligentes e babás eletrônicas), além da possibilidade de vazamento de dados, podem dar acesso para terceiros espionarem a sua casa5.
Dados de uma pesquisa realizada em 2016 pela Consultoria Teleco indica que o Brasil poderá ter 100 milhões de objetos conectados em 2025, excluindo dessa conta tablets e smartphones. Esse número pode dobrar se algumas questões regulatórias e tributárias vierem a ser reduzidas.
Os números acendem o alerta sobre a utilização de medidas efetivas para conter possíveis incidentes de segurança. Isso porque um levantamento feito pela Fortinet, especializada em cibersegurança, indica um aumento de 950%, se comparado com o ano de 2020, nas tentativas de ataques cibernéticos no Brasil em 2021.
Ao todo, foram aproximadamente 88,5 bilhões de tentativas, deixando o Brasil atrás apenas do México, que somou 156 bilhões de ataques.
Um ponto interessante apresentado pelo relatório é o crescimento de ataques do tipo Remote Code Execution (RCE), em que aparelhos de smart homes, conectados pela tecnologia IoT, são o alvo preferencial dos cibercriminosos, que exploram vulnerabilidades em câmeras, fechaduras e lâmpadas inteligentes.
Por essa razão, é importante manter um programa de governança, com foco em cibersegurança, privacidade e proteção de dados, para salvaguardar os dispositivos que estão integrados à uma rede alimentada por IoT.
Nesse sentido, algumas recomendações devem ser seguidas para aumentar o nível de segurança dos dados pessoais que possam trafegar neste circuito, dentre as quais podemos citar:
(i) ter uma plataforma própria e segura; (ii) adotar certificados SSL com criptografia dos dados; (iii) realizar testes de penetração de forma recorrente; (iv) manter uma política de aceitação apenas de senhas fortes; (v) realização periódica de backups em locais seguros; (vi) implementação de políticas internas; e (vii) adoção de security by design.
Por fim, mas não menos importante, destaque-se a necessidade de que todo o fluxo seja acompanhado de perto pelo Data Protection Officer (DPO ou Encarregado pela Proteção de Dados) da companhia, que será a pessoa responsável por fazer a gestão desse programa de governança e adotará medidas necessárias para ampliar o nível de segurança e de privacidade.
¹O termo surge pela primeira vez em 1999, com Kevin Ashton, em sua palestra na empresa Procter & Gamble (P&G), num momento histórico em que poucas pessoas ainda tinham acesso à internet e, para poder utilizá-la, muitas pessoas esperavam a madrugada para iniciar a conexão, que ainda era discada e precisava instalar um software que vinha em CDs. Quanta coisa mudou de lá pra cá!
² Na casa conectada as, ações são executadas a partir de um comando do usuário por meio de assistentes virtuais, podendo ser controlado à distância, inclusive por comando de voz.
³Na casa inteligente, as ações estão automatizadas e todos os dispositivos compreendem quando devem executar cada ação, sem qualquer intervenção do usuário.
4 Criando uma rotina programada, por exemplo, você pode ter a sua cafeteira integrada ao despertador, de modo que, no horário programado para despertar, você seja acordado com o seu cafezinho já pronto, uma playlist para dar aquele ânimo para as atividades do dia a dia ou o seu podcast preferido, para ficar bem informado sobre as novidades.
Outro exemplo da utilização dessa tecnologia é da geladeira smart, um equipamento com câmeras internas programadas com inteligência artificial e que fica monitorando os alimentos, registrando o consumo, e avisa ao usuário se a comida, ou bebida, está acabando. Ela pode até mesmo recomendar receitas que possam ser feitas com os alimentos que estão no seu interior.
Além disso, esses eletrodomésticos podem encaminhar uma mensagem ao usuário para informar sobre a necessidade de troca ou reposição de algum filtro, elevação de temperatura e gerar uma lista de compras para o usuário, de acordo com o consumo, enviando ao usuário notificações no celular ou um QR cCode, que pode ser escaneado em aplicativos ou sites de supermercados.
5 Uma matéria divulgada pela coluna TechTudo, em 2018, apresentou três casos polêmicos envolvendo a assistente virtual Alexa e o Amazon Echo, nos Estados Unidos. Em um dos casos, diversos usuários informaram que, de forma misteriosa, o smart speaker começou a rir, sem qualquer comando anterior pelo usuário, o que gerou uma alteração do comando utilizado para ativação da interação da assistente virtual.
Em outra situação, a conversa de um casal foi gravada e encaminhada via mensagem para um terceiro, que alertou um dos envolvidos sobre a possibilidade de estarem sendo “vigiados” pelo equipamento. Maiores informações sobre os casos estão disponíveis para consulta aqui.