Sancionada em 14 de agosto de 2018, a lei Nº 13.709, Lei Geral de Proteção de Dados Pessoais (LGPD), com a finalidade de fortalecer a proteção das informações pessoais e a transparência na forma de tratamento e no armazenamento de dados. A LGPD proporcionou a criação de um novo modelo com regras claras para o uso de dados pessoais em ambientes online e off-line para os setores públicos e privados (MENEGAZZI, 2019).
Segundo (MENEGAZZI, 2019), algumas definições estabelecidas pela LGPD são:
Dado pessoal: são todos os dados relacionados a uma determinada pessoa que pode ser identificada ou identificável;
Dado pessoal sensível: são todos os dados pessoais sensíveis, ou seja, dados sobre a origem racial ou étnica, dados referentes às convicções religiosas, dados da opinião política dos usuários, dados referentes à filiação a sindicato ou a organização de cunho religioso, dados filosóficos ou políticos, dado referente à saúde e a vida sexual dos usuários, dados genético ou dados biométricos de um determinado usuário.
Tratamento de dados: refere-se a todas as operações que possam ser realizada em dados pessoais, por exemplo, as operações de coleta, operações de produção, operações de recepção, operações de classificação, operações de utilização, operações de acesso, operações de reprodução, operações de transmissão, operações de distribuição, operações de processamento, operações de arquivamento, operações de armazenamento, operações de eliminação, operações de avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Com relação aos impactos causados pela LGPD à IoT, por exemplo, nota-se que o simples fato de coletar dados como pulsação cardíaca, biometria, informações de carros ou máquinas que permite a identificação do condutor, já são considerados pela lei como tratamento de dados pessoais. Esses fatos, sem que estejam dentro das 10 possibilidades de tratamento de dados previstas pela lei, podem levar às empresas a responderem juridicamente por violação de dados pessoais (FONTES, 2012).
Paralelo a tudo isso, os projetos que utilizam tecnologias de IoT, assim como quaisquer outros que utilizam dados pessoais, precisam estar completamente preparados para serem transparentes. As ferramentas disponíveis precisam permitir a alteração de dados que são considerados inexatos, a inclusão de dados inexistentes, exclusão dos dados que foram armazenados sem a autorização do titular e ainda, em caso de violação de dados, deve gerar a rastreabilidade para possibilitar saber o que aconteceu, quando, por que e quem violou os dados. Essa necessidade deve-se ao fato de os responsáveis serem obrigados a conhecerem estas informações para reduzirem ou resolverem o prejuízo causado aos titulares.
Com a LGPD uma preocupação antiga ganhou força devido à necessidade legal de compliance: segurança da informação (SANTOS, 2012).
Frente a essas circunstâncias, é fundamental a identificação de todos os principais desafios que a empresas que desenvolvem IoT irão encontrar com relação ao tratamento de dados pessoais, bem como quais são as formas de reduzir os principais riscos encontrados que irá permitir viabilizar o desenvolvimento seguro da tecnologia e que esteja em conformidade com a legislação vigente.
Imagine um dispositivo de IoT que liga automaticamente as luzes de sua casa no final da tarde e desliga ao amanhecer. Agora, imagine você programando o dispositivo para não ligar e nem apagar as luzes em um determinado feriado que foi viajar com a família e que essas informações ficam disponíveis em algum sistema conectado à internet. Caso esse sistema receba um acesso indevido, pessoas não autorizadas podem obter tais informações e se aproveitar da ausência de alguém em casa para exercer atividades criminosas.
Estes problemas que estão diretamente relacionados à segurança da informação e principalmente vazamento de dados são o principal desafio encontrado quando se pensa no tratamento de dados pessoais para desenvolvimento de IoT em conformidade com a legislação da LGPD. Outras situações também podem ser destacadas, como exemplo: a ausência de controle das informações pelos usuários; a dificuldade de conseguir o consentimento adequado dos usuários, por exemplo, em caso de uso de dados de saúde; o estabelecimento de padrões de comportamento de forma intrusiva; e a dificuldade de tornar os dados anônimos quando os mesmos são utilizados em determinados tipos de serviços (SILVA, 2016).
Para auxiliar na integração entre LGPD e IoT pode-se utilizar as Normas de Gestão da Segurança da Informação, tendo em vista que a segurança da informação é importante para a continuidade dos negócios da organização (FONTES, 2012). A ISO 27001 é considerada a norma base que deverá ser utilizada pelas organizações que desejam obter a certificação empresarial em gestão da segurança da informação. Conhecida como a única norma internacional que é auditável e define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Com relação a norma ISO/IEC 27002 é formada por um código de práticas, este por sua vez é composto por um conjunto de controles que irão auxiliar na aplicação do Sistema de Gestão da Segurança da Informação (SANTOS, 2016).
Para aprofundar seus conhecimentos acerca dos temas abordados neste módulo, você pode assistir aos vídeos a seguir:IoT privacidade e segurança, do canal do youtube “Tudo Sobre IoT”.https://www.youtube.com/watch?v=zp0NOXv6THYSegurança da informação OS RISCOS DA IoT - Internet das Coisas e sua “Segurança”, do canal do youtube “Guia Anônima”.https://www.youtube.com/watch?v=RQvCj0F9a58
Referência BibliográficaFONTES, E. Políticas e Normas para a Segurança da Informação. Brasport, 342, p. 2012.MENEGAZZI, D.; MATTE, J.; SARAIVA, I. Z. O Impacto da Lei Geral de Proteção de Dados Sobre os Negócios Digitais. Caderno de Propriedade Intelectual e Transferência de Tecnologia, v. 1, n. 1, p. 33-36, 2019.SANTOS, B. P. et al. Internet das coisas: da teoria à prática. 2016.NOBRE, J. et al. Segurança da Informação para Internet das Coisas (IoT): uma abordagem sobre a Lei Geral de Proteção de Dados (LGPD). Revista Eletrônica de Iniciação Científica em Computação, v. 17, n. 4, 2019.SANTOS, V. O. Um modelo de sistema de gestão da segurança da informação baseado nas normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008. 105 p. Dissertação (mestrado) - Universidade Estadual de Campinas, Faculdade de Engenharia Elétrica e de Computação, Campinas, SP. 2012.SILVA, T.; TELES, G. A. Internet das Coisas: Rfid E NFC, Conceitos e Aplicações. Faculdade Nordeste, 2016.