Sexta-feira, 19 de julho de 2019

ISSN 1983-392X

Internet das coisas - IOT e privacidade de dados - Desafios técnicos, jurídicos e operacionais para o compliance

Yuri Rodrigues Ladeia

A IOT permite diversas possibilidades e facilidades em variadas áreas e campos de aplicação, entretanto, existem normativas que regulam a utilização de dados, os quais são fundamentais para a IOT.

sexta-feira, 12 de julho de 2019

Introdução

A aplicação tecnológica no business ao redor do mundo é um movimento constante e não retroativo, posto que a tecnologia tem ditado, a cada dia, novos rumos e perspectivas para o mercado.

A crescente tendência digital propicia a elevação da importância e sensibilidade das informações utilizadas para manutenção das atividades privadas e públicas, a nível global. Diante disso, se no presente e passado recente o petróleo representou poder, atualmente, esse título tem passado para os dos dados, uma vez que representa o potencial de desenvolvimento e aprimoramento de serviços, produtos e, consequentemente, a geração de negócios, concretizando a máxima de que, “informação é poder”.

Um dos negócios que surgiram com as novas tecnologias e processamento de dados foi a Internet das Coisas – IOT, juntamente com outras ferramentas como machine learning, computação ubíqua, computação na nuvem e blockchain, assim como soluções de big data para lidar com um grande volume de dados não estruturados.

Apesar dos diversos benefícios e facilidades que a IOT apresenta, é necessário o tratamento dos dados pessoais em grande escala para viabilizar suas funcionalidades, se tornando uma grande responsabilidade e risco, uma vez que o crescente número de dados captados está sujeito a impactos negativos aos titulares, controladores e processadores de dados, podendo consistir em violações como, perda, roubo, utilização inadequada para os primeiros e em sanções jurídicas e prejuízos de toda ordem para os demais.

Diante disso, esse artigo busca apontar brevemente quais são os benefícios e os desafios técnicos e jurídicos para conformidade de dados no uso da IOT no Brasil e União Europeia.

1. Breve contextualização jurídica - a lei e regulamento de proteção aos dados pessoais no Brasil e na Europa

Em busca da regulação e redução dos riscos de violação de dados, o Brasil e a união Europeia regulamentaram a respeito da proteção e privacidade de dados pessoais, por meio da General Data Protection Regulation – GDPR Europeia e a Lei Geral de Proteção de Dados – LGPD Brasileira.

Essas legislações apresentam regras, princípios, orientações e punições face ao tratamento de dados pessoais, harmonizando, pela primeira vez, o Direito e a Tecnologia da informação.

O GDPR entrou em vigor na Europa em Maio de 2018, com a atualização da Convenção 108 de 1981, (Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal) pelo Conselho da Europa.

As modificações visam reajustar conceitos e incorporar as noções de data controller e data processor, reforçar princípios como o da proporcionalidade e da minimização do uso de dados; acrescentar disposição específica para regulamentação do consentimento do titular dos dados; alargar o catálogo de dados considerados sensíveis, reforçar as exigências em matéria de segurança e proteção de dados; atribuir novos direitos aos titulares dos dados e criar novas obrigações, etc., segundo Rebelo (2019).

No Brasil, a lei 13.709, de 14 de agosto (Lei Geral de Proteção de Dados – LGPD), instituiu novas regras em matéria proteção de dados pessoais, ainda que este venha apenas a entrar em vigor em 2020 (18 meses após a sua promulgação), redigida sob notória influência daquilo que já se professava nas regulações europeias nesta matéria, de acordo com Rebelo (2019). Portanto, manteve a linha regulatória europeia, possibilitando as relações entre o Brasil e a união europeia com segurança de dados equivalente.

1.1. Princípios e conceitos chave das regulamentações

A fim de realizar um apontamento direto e breve, torna-se pertinente referenciar alguns princípios e conceitos fundamentais para o uso da IOT num contexto de regulamentação jurídica de segurança e proteção de dados.

O GDPR veio adotar como técnica legislativa o uso de definições para esclarecer noções fundamentais à compreensão do documento. Entre outras, destacam-se os conceitos de (i) dados pessoais: qualquer informação/dado que se relacione com uma pessoa identificável (art.º 4º, 1 do RGPD); (ii) de dados pseudonimizados: o tratamento de dados que, apesar de à partida não poder ser atribuído a um titular específico, admite essa hipótese com recurso a informações suplementares (art.º 4.º, 5 do RGPD); (iii) responsável pelo tratamento: entidade que decide a finalidade do tratamento (art.º 4º, 7 do RGPD), (iv) subcontratante: entidade que procede ao tratamento de dados por conta do responsável do tratamento (art.º 4.º, 8 do RGPD), (v) tratamento de dados: qualquer operação que se faça com uso de dados pessoais, que vão desde a simples recolha/coleta, passando pelo seu processamento, armazenamento, transferência ou mesmo eliminação (art.º 4º, 2 do RGPD). (Rebelo, 2019)

Relativamente aos princípios previstos no RGPD, destacam-se (i) o princípio da limitação das finalidades: qualquer dado pessoal só pode ser recolhido e tratado com propósitos legítimos, concretos e determinados, que sejam devidamente comunicados ao respetivo titular, e sem que possam ser usados para outras ou além das finalidades recolhidas (art.º 5º, 1, al. b) do RGPD); (ii) princípio da minimização dos dados: o tratamento tem que ser compatível com as finalidades declaradas para a sua recolha e limitadas ao necessário para a sua prossecução (art.º 5º, 1, al. c) do RGPD); (iii) princípio da transparência: que garante ao titular dos dados que todas as informações são dadas e de forma clara e precisa (art.º 5º, 1, al. a) e 12º do RGPD); (iv) o princípio dos limites da conservação: que visa garantir que todos os dados são conservados adequadamente, por forma a permitir sempre a identificação e acesso dos seus titulares (art.º 5º, 1, al e) do RGPD); (v) princípios da integralidade e confidencialidade: acompanhados de medidas técnicas de proteção desses mesmos dados, que impeçam o acesso não autorizado, a perda, etc., sob pena de responsabilidade administrativa ou mesmo penal (art.º 5º, 1, al f) do RGPD). (Rebelo, 2019)

Vale mencionar os direitos do titular dos dados que o GDPR apontou, quais sejam: direito de acesso aos dados (art.º 15º do GDPR), que poderá ser efetuado sem quaisquer constrangimentos e a qualquer tempo desde que efetuado mediante requerimento prévio; direito de retificação e apagamento, que se traduz no direito do titular dos dados a, por ex., ver revogado o seu consentimento, exigir do responsável pelo tratamento a destruição dos seus registros no banco de dados, a sua a total exclusão, a mera oposição ao tratamento, ou correção (art.º 16º e 17º do GDPR); direito à portabilidade dos dados (art.º 20º do GDPR) e o direito de solicitar ao responsável pelo tratamento a transmissão dos seus dados pessoais para outra entidade, segundo o entendimento de Rebelo (2019).

No âmbito Brasileiro, os princípios e direitos são semelhantes, devido à evidente inspiração na elaboração da regulação nacional. Fato é que está presente na regulação brasileira os princípios da responsabilização e prestação de contas, finalidade legítima, adequação, necessidade, prevenção, não discriminação e livre acesso, em evidente semelhança com as Key Issues propostas pela GDPR.

2. Identificando benefícios e desafios da aplicabilidade da IOT em conformidade com a privacidade de dados pessoais

A principal questão a ser respondida é saber qual o nível de impacto que esta tecnologia tem sob a proteção de dados e se há possibilidade de aplicar a IOT, assegurando o uso em compliance com a segurança dos dados pessoais. Para chegar a essa resposta, é necessário esclarecer brevemente sobre as aplicabilidades da IOT e do que se trata.

2.1.O que é IOT e quais suas aplicabilidades?

A Internet das Coisas (do inglês Internet of Things IOT), é   uma   infraestrutura   de comunicação que permite conectar o mundo real e o virtual, criando um “novo mundo” mais inteligente nos diversos segmentos da sociedade moderna. A  IOT  é  utilizada  para  designar  a conectividade  entre  vários  objetos  do  mundo  físico,  sensíveis  à  internet,  por  exemplo, eletrodomésticos, carros e ainda máquinas e equipamentos industriais através de sensores, que são capazes de capturar  eventos do mundo real  e enviá-los às plataformas de comunicação e interconexão   que   recebem   dados   e   informações, permitindo   a   manipulação   de   forma inteligente construindo uma  rede  de  objetos  interconectados. A IOT aliada a tecnologia do big data, transforma o setor industrial e seus processos decisórios, tendo grande importância para indústria 4.0 sendo este um novo paradigma de processos de produção. (De Fátima Colombo & De Lucca Filho, 2018)

A IOT, como o nome diz, trabalha com “coisas”, sendo que uma “coisa” pode ser uma pessoa com monitor cardíaco, um animal sendo rastreado, um carro com sensores que mostra as informações essenciais do veículo, entre outros. A IoT possui  várias  tecnologias  em  comum  comas  tecnologias  de  comunicação Machine-To-Machine, usual em produtos industriais, de medição de energia, água, gás e óleo, entretanto, o conceito de IOT vai além da comunicação citada, pois propõe um futuro no  qual  todos  os  objetos  sejam  conectados  e  comunicando-se  de  forma  inteligente  a  todo  o momento, segundo De Fátima Colombo & De Lucca Filho (2018).

Diante das reflexões, expectativas e exemplo acima, é possível identificar a complexidade e os riscos à privacidade de dados pessoais, vez que as aplicações da IOT requerem grande volume de dados e tratamento sistematizado, fatores que alimentam o as possibilidades e risco, proporcionalmente.  Portanto, é um desafio o desenvolvimento de mecanismos permitam segurança e privacidade dos dados sensíveis, conforme Wang e Ranjan (2015).

2.2.A avaliação de impacto à proteção de dados – aipd como ferramenta de identificação dos desafios da aplicabilidade da IOT

Conforme apresentado acima, para avaliar os riscos e desafios na utilização da IOT é necessário considerar os princípios da proteção de dados, em especial os princípios da privacy by design (desde a concepção) e Proteção de Dados by default (por padrão).

A Proteção de Dados by design instrui a antecipar problemas de segurança e privacidade, desde a criação da função/produto/negócio, respeitando às regulamentações jurídicas e técnicas, adotando a privacidade como meio de operação padrão. A Proteção de Dados by default busca o mais alto padrão de segurança e privacidade em todo o negócio ou sistema, uniformemente, segundo Ladeia (2019).

A Avaliação de Impacto sobre a Proteção de Dados – AIPD (Data Protection Impact Assessment – DPIA), prevista no artigo 35 do GDPR propõe que quando o processamento, em especial utilizando novas tecnologias, sendo esse caso da IOT, tendo em conta a natureza, âmbito, contexto e finalidades do processamento, possa resultar num risco elevado para os direitos e liberdades das pessoas singulares, o controlador do processamento, procederá com uma avaliação do impacto das operações de processamento previstas na Proteção de Dados pessoais, segundo o grupo de Trabalho do artigo 29 (2017).

A operação da IOT submete os dados pessoais a risco elevado para os direitos e liberdades das pessoas físicas, motivo pelo qual é fundamental que essa avaliação seja feita antes de efetivamente aplicar as funcionalidades, assim como seja realizada constantemente quando houver atualizações.

A AIPD é uma avaliação sistemática e exaustiva de aspectos pessoais relacionados às pessoas físicas, baseada no processamento automatizado, incluindo a definição de perfis em que se baseiam as decisões que produzem efeitos jurídicos em relação à pessoa singular, ou afetam igualmente de forma significativa a pessoa singular, segundo o Parlamento Europeu e Ladeia (2016, 2019).

Considerando que a IOT realiza o processamento de dados em grande escala com acompanhamento sistemático, inclusive em áreas de acesso público, é possível que envolva dados de natureza sensível, previstos no artigo 9° do GPDR, tais como, dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; filiação sindical; dados relativos à vida sexual ou orientação sexual da pessoa. O exemplo do caso citado acima de utilização da IOT na saúde ratifica a necessidade da AIPD para garantir o respeito aos direitos dos titulares de dados.

Em resumo, devem ser consideradas quais categorias de informação serão coletadas, como, quem e onde haverá acesso aos dados, bem como deve ser definido um o plano de segurança mediante os resultados da AIPD, conforme Chalimov (2018), sendo esse um desafio de adaptação jurídica, técnica e operacional.

3. Conclusão

A IOT permite diversas possibilidades e facilidades em variadas áreas e campos de aplicação, entretanto, existem normativas que regulam a utilização de dados, os quais são fundamentais para a IOT. Devido às regulações de dados pessoais, no Brasil e União Europeia há desafios operacionais, técnicos e jurídicos para estar em conformidade com a proteção de dados.

Os desafios consistem em padronizar e identificar os dados, com critério de sensibilidade, previamente ao início do tratamento e constantemente quando das atualizações da aplicação IOT, por meio da AIPD, aplicando critérios legais às soluções técnicas.

Portanto, identificar riscos e operacionalizar, em nível razoável, os métodos de segurança, observando critérios jurídicos, técnicos e operacionais, são os desafios e ao mesmo tempo a solução para o compliance na proteção de dados.

________________

ARTICLE 29 DATA PROTECTION WORKING PARTY. (13 de Dezembro de 2016). Guidelines for identifying a controller or processor’s lead supervisory authority. Disponível aqui.

Brasil. (05 de Outubro de 1988). CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988. Acesso em 20 de Junho de 2019. Disponível aqui.

Brasil. (14 de Agosto de 2018). LEI Nº 13.709 - Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Acesso em 20 de Junho de 2019. Disponível aqui.

Chalimov, A. (15 de Março de 2018). GDPR AND IOT: 5 ASPECTS OF A SUCCESSFUL COMPLIANCE STRATEGY. Acesso em 20 de Junho de 2019. Disponível aqui

De Fátima Colombo, J., & De Lucca Filho, J. (30 de dezembro de 2018). 72INTERNET DAS COISAS (IOT) E INDÚSTRIA 4.0: revolucionando o mundo dos negócios. Acesso em 23 de junho de 2019. Disponível aqui

GRUPO DE TRABALHO DO ARTIGO 29.º PARA A PROTEÇÃO DE DADOS. (04 de Abril de 2017). www.cnpd.pt. Fonte: Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679. Disponível aqui.

Ladeia, Y. (20 de Junho de 2019). A necessidade jurídica e técnica de Avaliar o Impacto à proteção de dados (AIPD/DPIA) nos setores da Saúde e Financeiro. Acesso em 20 de junho de 2019. Disponível aqui.

Parlamento Europeu. (07 de Dezembro de 2000). Carta dos Direitos Fundamentais da União Europeia. (J. O. Europeia, Editor) Acesso em 20 de junho de 2019. Disponível aqui.

Parlamento Europeu. (27 de Abril de 2016). REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO. Disponível aqui.

Ranjan, R., & Wang, L. (22 de Abril de 2015). ieeexplore.ieee.org. Acesso em 20 de Junho de 2019, disponível em Processing Distributed Internet of Things Data in Clouds. Disponível aqui.

Rebelo, M. P. (maio de 2019). Os desafios do Regulamento Geral de Proteção de Dados. (U. N. Direito., Editor) Acesso em 20 de junho de 2019, disponível em cedis.fd.unl.pt: Disponível aqui.  

________________

*Yuri Rodrigues Ladeia é advogado, presidente da Comissão de Direito Tributário e Proteção de Dados da 197° Subseção da OAB/MG, em BH.

t