GDPR e Lei Geral de Proteção de Dados impactam projetos de IoT
*Por Rodrigo Suzuki, gerente de segurança da informação e continuidade de negócios da Logicalis
Com o crescimento expressivo de novas tecnologias e a inserção delas no dia a dia das pessoas em diversos momentos, fica cada vez mais fácil coletar dados visando a um maior conhecimento sobre o consumidor e o seu próprio negócio. Uma das tecnologias que pode ser usada nesse processo é a internet das coisas (IoT), que, por meio de diversos tipos de dispositivos, possibilita uma infinita possibilidade de captura de dados.
No entanto, os projetos de IoT enfrentam novos desafios com a General Data Protection Regulation (GDPR), lei europeia que entrou em vigor em maio deste ano e estabelece regras para a garantia da privacidade das informações de cidadãos europeus em qualquer lugar do mundo e de dados pessoais capturados ou processados em países membros da Comunidade Europeia. O Brasil não ficou atrás e criou a Lei Geral de Proteção de Dados (LGPD), já aprovada no Senado Brasileiro no último dia 10 e aguarda apenas a sanção do Presidente da República.
Essas leis podem inviabilizar alguns serviços, mas também criam oportunidades para a inovação. Conceitos como Privacy by Design, quando uma solução é criada levando em conta os requisitos de privacidade, são especialmente importantes quando lidamos com projetos de IoT – funcionalidades que poderiam colocar em risco a privacidade de pessoas podem ser tratadas desde a concepção do produto, evitando ajustes futuros que podem ser custosos ou até inviabilizar sua aplicação.
O princípio fundamental do uso de dados pessoais é o consentimento da pessoa, que deve ser obtido a partir de uma solicitação clara, simples e objetiva, explicando quais dados serão capturados, como serão utilizados e por quanto tempo serão mantidos. É importante observar que o consentimento deve ser armazenado como uma evidência e que a pessoa tem o direito de solicitar a sua revogação a qualquer momento. As empresas geralmente complementam o consentimento com uma Política de Privacidade e Termos de Prestação do Serviço.
O GDPR e a LGPD descrevem os direitos que as pessoas têm sobre seus próprios dados, o que inclui a possibilidade de solicitar a relação dos dados que a empresa possui sobre ele, solicitar a completa remoção, criptografia das informações e, até mesmo, portabilidade de seus dados para uma outra empresa. Para isso, toda empresa precisa saber onde e como os dados pessoais são capturados e processados – de forma direta e indireta – e que eles sejam corretamente armazenados e utilizados durante o seu ciclo de vida.
Dispositivos que capturam dados pessoais, hábitos ou que possam gerar informação que identifique uma pessoa precisam respeitar o consentimento de seu titular. Um dos desafios para os projetos de IoT é a proibição do desvio de propósito, que é a utilização de dados pessoais com finalidades diferentes do que foi consentido por seu titular. Casos de desvio de propósito se tornaram públicos recentemente – algumas organizações comercializavam, compartilhavam ou correlacionavam as informações capturadas com outras empresas. No Brasil, empresas já foram condenadas por correlacionarem dados públicos de pessoas sem o devido consentimento. Sem os devidos cuidados, esse processamento pode sujeitar a empresa à pesadas multas.
Um exemplo da possibilidade de captura de dados está no setor de seguros. As seguradoras poderiam monitorar os automóveis segurados, por meio de sensores, com o objetivo de conhecer os hábitos do motorista e oferecer descontos ao cliente com base no perfil de direção, horário de uso do carro, regiões por onde passa e até no estilo de condução do veículo. No entanto, sem o consentimento da pessoa, não seria permitido outros usos, como publicidade, por exemplo. Se o uso das coordenados geográficas não for consentido pelo cliente, se configura como um claro desvio de propósito do uso de dado pessoal.
Contudo, o GDPR e a Lei Brasileira de Proteção de Dados possibilitam que dados pessoais sejam capturados, armazenados e processados em determinadas situações, como por exemplo, para fins de segurança pública, a garantia do desempenho de um contrato de prestação de serviços e até mesmo por interesse legítimo da pessoa, mesmo sem o seu consentimento, desde que respeitado o direito à liberdade e não-discriminação de um indivíduo, uma possibilidade que deve ser levada em consideração em projetos de IoT.
As Leis de privacidade vieram para ficar e são importantes para a definição de como as soluções tecnológicas vão evoluir, de forma a oferecer serviços sem o uso abusivo de dados pessoais. Você, sua empresa e, principalmente, seus fornecedores precisam estar preparados.
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo