Segurança e Legislação: o ponto crucial

Luis Fernando Prado Chaves, sócio head da área de Direito Digital, Privacidade e Proteção de Dados do Daniel Advogados, acredita que dependendo da perspectiva, pode-se dizer que a IOT já é uma realidade no Brasil. São vários projetos extremamente interessantes em andamento no setor de inovação. “No entanto, não podemos ignorar a necessidade de investimento em inclusão digital no país”. Ano após ano, as taxas de usuários brasileiros conectados à internet vêm melhorando, mas ainda é chocante saber que 1 em cada 3 domicílios brasileiros não possui conexão à internet. Essa talvez seja uma das principais barreiras que ainda dificultam a pulverização da IOT no mercado nacional.

O mecanismo de funcionamento da IOT pressupõe intensa troca de dados, sendo que, quanto maior o trânsito de informações, maiores os riscos à segurança. Basicamente, a preocupação dos players do ecossistema da IOT deve ser em garantir integridade, confidencialidade, autenticidade e disponibilidade em todas as etapas de seu funcionamento, desde a concepção do produto ou serviço até a sua efetiva execução.

“Vale lembrar que muitos dos dados processados por meio de tecnologias IOT podem ser considerados dados pessoais nos termos da Lei Geral de Proteção de Dados (LGPD)”, explica Luis Fernando Prado. “Nossa lei traz uma definição bastante ampla daquilo que deve ser entendido como dados pessoal”, afirma. O executivo também diz que é importante ressaltar que, em
várias situações, mesmo logs e demais registros eletrônicos podem ser considerados dados pessoais. “Não estamos falando apenas de dados como nome, CPF, endereço de e-mail etc. Isso não significa que as empresas estarão proibidas de manter ou fazer uso de tais dados, mas sim que cuidados especiais deverão ser adotados, especialmente no sentido de garantir a apropriada segurança, bem como que o seu processamento está ocorrendo de acordo com pelo menos uma das hipóteses autorizadas pela lei (chamadas de bases legais para tratamento de dados)”, ressalta.

Do ponto de vista jurídico, é temerário que uma empresa execute um projeto que envolva intenso processamento de dados sem que antes faça uma criteriosa análise dos aspectos legais e de segurança da informação. Trata-se de um risco impossível de assumir. A LGPD, que, de acordo com a atual versão de sua redação, entrará em vigor em agosto de 2020, exige que medidas (técnicas e organizacionais) de segurança sejam pensadas para todas as fases do projeto.

Para além disso, em alguns casos é recomendável a elaboração de um relatório de impacto à proteção de dados pessoais (documento também previsto na LGPD), com o objetivo de se prever ações para reduzir os riscos às pessoas físicas que têm seus dados processados por meio de tecnologia IOT. Essa cultura de sempre pensar em como se atingir maior nível de segurança e proteção de dados é algo que as empresas precisam passar a adotar no dia a dia, tanto para atender às novas normas jurídicas (que são bastante rigorosas), como para mitigar a chance de escândalos de privacidade, que são cada vez mais comuns e danosos à saúde financeira e reputacional das organizações.

Em termos técnicos, além da necessidade de se ter em conta os requerimentos legais de segurança trazidos pelo Decreto 8.771/2016 (que regulamentou o Marco Civil da Internet), é recomendável que as empresas busquem aderência às normas técnicas, obtendo, quando o caso, a respectiva certificação (a qual, embora não blinde a empresa, serve para reduzir riscos e evidenciar a sua precaução).

Não temos motivos para acreditar que o Brasil não esteja preparado para implementar o Plano Nacional de IOT. Quanto aos riscos relativos à segurança da informação, essa é uma fragilidade e um ponto de atenção a qualquer país do mundo. As maiores empresas sediadas nos países mais desenvolvidos, como EUA por exemplo, também sofrem constantemente com as novas ameaças do meio digital, sendo importante que – aqui ou em outro lugar – existam constantes debates aprofundados sobre o tema, diretrizes técnicas específicas que sirvam como guia para as organizações, e,principalmente, conscientização das empresas sobre o tema da proteção de dados.

Felizmente, as repercussões do novo regulamento europeu de proteção de dados (GDPR) e da nossa LGPD estão fazendo com que as empresas percebam a importância do assunto, não apenas do ponto de vista jurídico ou técnico, mas também como um fator de negócio essencial para se manter no mercado. É recomendável a elaboração de um relatório de impacto à proteção de dados pessoais com o objetivo de se prever ações para reduzir os riscos às pessoas físicas que têm seus dados processados por meio de tecnologia IOT. Essa cultura de sempre pensar em como se atingir maior nível de segurança e proteção de dados é algo que as empresas precisam passar a adotar no dia a dia.

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós