Perspectiva Brasileira: Privacidade e Proteção de Dados com o advento da Internet das Coisas
Cada vez os interesses em relação a Internet das Coisas (IoT) vem ganhando novos entusiastas e novos adotantes, e frequentemente encontramos diversas pesquisas com apresentação de diversos números e cifras para o futuro em que Internet das Coisas irá prevalecer e mudar drasticamente os modelos de negócios e o nosso modo de viver. E por mais que o novo cenário pareça ser bastante promissor, as ameaças também evoluem rapidamente e as tecnologias podem se tornar cada vez mais vulneráveis. Dentre essas ameaças, duas tomam destaque: (i) segurança, de forma a evitar perigos e danos que podem ser causados pelos dispositivos aos negócios e pessoas; e (ii) a privacidade das informações que trafegam e são armazenadas nesses novos sistemas.
Para o primeiro problema, atualmente, um dos grandes esforços, a nível global, para promover a segurança necessária é realizado pelo OWASP (The Open Web Application Security Project) com o projeto OWASP Internet of Things Top 10 [1]. Para o segundo problema, no nível do Brasil, houveram iniciativas como o Marco Civil, e agora o anteprojeto de lei de proteção de dados pessoais, que segue tramitando nas câmaras legislativas, que visam endereçar as principais questões de privacidade, principalmente com o advento de novas tecnologias e sistemas pensados para funcionarem na Internet das Coisas. O objetivo deste artigo é, portanto, mostrar uma visão brasileira de como estamos nos preparando, em termos de segurança e privacidade, para o advento da Internet das Coisas, apresentando casos de conflitos recentes e como estamos encarando o problema de fato, afinal quanto está valendo a nossa privacidade e vale a pena trocá-la por mais “comodidade”?
MARCO CIVIL DA INTERNET NO BRASIL
Em 2014, o Brasil instaura o que ficou conhecido como Marco Civil da Internet [3], que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria. É a primeira lei, em território nacional, que se fala explicitamente em privacidade, mas também trás consigo outros aspectos importantes:
- Neutralidade na rede: define que a rede deve ser igual para todos, sem diferenciação quanto ao tipo de uso. A neutralidade da rede deve ser regulamentada especificamente e em detalhes por decretos futuros da Anatel (Agência Nacional de Telecomunicações) e ao CGI Conselho Gestor da Internet);
- Privacidade na web: prevê a inviolabilidade e sigilo das comunicações na web, regula o monitoramento, filtro, análise e fiscalização de conteúdo. O acesso a conteúdos só é permitido através de ordens judiciais. A questão de proteção de dados pessoais, será regulamentada em nova lei (está em andamento o anteprojeto de lei de Proteção de Dados);
- Registros de acessos: O marco define que para os provedores de conexão, não é permitido o registros dos acessos na Internet, entretanto para as provedoras de aplicação os registros devem ser armazenados por seis meses, e só poderão usar estas informações neste período mediante consentimento do usuário;
Um dos principais revés da aprovação do Marco Civil da Internet foi a saída do texto original da cláusula que obrigava que as informações geradas no Brasil fossem armazenadas exclusivamente em datacenters localizados em território nacional, mas essa obrigação saiu do texto aprovado. O Marco Civil foi realmente importante no Brasil, pois a maioria dos casos anteriores a ele era resolvido por meio de injunção, ou de leis ad-hoc (como foi o caso da Lei Carolina Dieckmann — 12.732/2012), entretanto é possível verificar que vários dos itens ainda carecem de regulações mais específicas de forma a prover maior segurança jurídica e evitar ambiguidade em alguns casos.
CONFLITOS COM A LEGISLAÇÃO: DEBATENDO CASOS COMO O BLOQUEIO DE APLICATIVOS
Um dos dilemas vividos pela judiciário brasileiro nos últimos meses, em relação a tecnologia, vêm sendo o bloqueio aos aplicativos de Internet e seus desdobramentos legais, especialmente nos casos que ficaram mais famosos envolvendo o aplicativo Whatsapp. Entre as principais reflexões em relação a esses dilemas, destacam-se as seguintes:
(i) legalidade do fornecimento das comunicações dos investigados;
(ii) garantia da privacidade dos demais usuários em caso de quebra da criptografia;
(iii) obrigação do fornecedor de sujeitar-se à legislação brasileira;
Para ambos os casos não há leis específicas ou jurisdições que possam ser aplicadas, e por isso são utilizados princípios de outras legislações e casos de injunção jurídica para tentar resolver essas questões. Por exemplo, em relação à (i) legalidade do fornecimento das comunicações dos investigados [4], o grande problema é o sigilo constitucional das comunicações, previstos na lei 9.296/6 (que trata dos requisitos para interceptação de comunicação) e as disposições investigatórias previstas no Marco Civil da Internet. Ambos prevêm o direito de inviolabilidade e sigilo de comunicações, salvo por ordem judicial. Um princípio basilar (privacidade, sigilo) não pode dificultar a efetivação de outros (devido processo, responsabilização) quando a própria Constituição Federal autoriza hipóteses legais de restrição (inciso XII do art. 5° da Constituição Federal do Brasil).
Entretanto, em contrapeso a isto, temos a questão (ii) da garantia da privacidade dos demais usuários em caso de quebra da criptografia [4]. No caso do Whatsapp, o responsável afirma que se suspender a criptografia nos sistemas para interceptar dados de investigados específicos, todos os demais usuários ficariam vulneráveis. Portanto, temos duas qustões principais: (a) solucionar um crime ao custo do alto risco à privacidade dos demais usuários não parece ser razoável; ao mesmo tempo que (b) também não parece ser razoável criar um território inatingível pelo judiciário, de modo que ninguém possa se eximir de colaborar com as investigações; e por último (c ) bloquear o funcionamento de aplicativos para forçar o cumprimento de ordem judicial não nos soa como medida exatamente proporcional, pois atinge diretamente os demais consumidores, usufruidores deste serviço. Atualmente, o judiciário brasileiro vêem se consultando com diversos especialistas da área de criptografia e comunicação para verificar meios alternativos de resolver a questão, e talvez a resposta para isso venha da via técnica: primeiro, verificar se existe de fato alternativas técnica para quebra total da criptografia nos casos específicos solicitados pelo judiciário; e em segundo, caso seja constatado a impossibilidade de quebra da criptografia, levantar outras estratégias investigativas, como a criação de um usuário específico que receba as cópias das mensagens, ou outras que forem consideradas adequadas para as situações.
E por último um assunto que vem sendo cada vez mais discutido principalmente depois do fato do Marco Civil excluir alguns parágrafos do texto original, especialmente voltado ao fato de (iii) o fornecer estrangeiro estar ou não sujeito à legislação brasileira [4], e portanto, não possuir o dever de manter os registros das aplicações de seus clientes investigados. A princípio, ainda que o Marco Civil não tenha incluído a cláusula focada em armazenamento de informações em locais fora do Brasil, ele inclui no escopo da legislação brasileira incluindo Código Penal) todos os fatos e serviços ocorridos e/ou executados no Brasil, coroando-se tal justaposição quando o grupo econômico fornecedor possuir estabelecimento no país. Portanto, o Whatsapp entra nesse grupo.
Em meio a essa insegurança jurídica, as empresas em cada vez utilizando o conceito de privacy by design, isto é, pensando em requisitos de privacidade desde a concepção que vai de encontro com o Projeto de Lei n° 5.276/2016, específico sobre proteção de dados pessoais, no que diz respeito aos princípios da transparência, segurança e prevenção, indicados em seu artigo 6°, possuindo inspiração nas normatizações europeias incluindo o Regulamento para a Proteção de Dados Pessoais 2016/679 e passará a valer em definitivo em maio/2018), que já inclui os conceitos de privacy by design e privacy by default (artigo 25 a estabelecer obrigações relacionas a referidos conceitos, indicando, entre elas, a necessidade de implementação de medidas técnicas e operacionais que, por padrão, restrinjam o processamento de dados àqueles necessários para o propósito específico para os quais foram coletados.
Especialmente para aqueles que possuem aplicativos para celulares no seu modelo de negócio (o que pode ser o caso de vários sistemas de IoT), a questão de privacy by design se tornou ainda mais importante depois da mudança de postura das principais lojas de aplicativos [5], tanto Apple quanto Google exigem que os aplicativos possuam políticas bem definidas com relação à privacidade e à proteção de dados pessoais, portanto, a elaboração de políticas de privacidade robustas e adequadas ao modelo de negócio veem se tornando uma das tarefas mais importantes para os empreendedores da área de tecnologia. Se considerarmos o exemplo da Google Play Store [5], há exigências em relação aos aplicativos que tratam dados pessoais ou confidenciais (e principalmente detalhes de como eles devem ser compartilhados com terceiros), além de diversos requisitos técnicos, como por exemplo a utilização de técnicas criptográficas para proteger os dados. Há regras específicas para aplicativos que “monitoram ou rastreiam o comportamento de um usuário em um dispositivo”, como ocultar o comportamento de rastreamento ou mesmo “tentar enganar os usuários sobre tal funcionalidade”. Basicamente, as novas políticas e práticas de privacidade devem prever (a) transparências, (b) especificação das modalidades de tratamento de dados dos usuários, (c ) atendimento a requisitos especiais para aplicativos sobre dados sensíveis e confidenciais.
4. PADRÃO OWASP DE PROTEÇÃO DE DADOS EM IoT
O OWASP está desenvolvendo e disponibilizando uma série de diretrizes de segurança para consumidores, desenvolvedores e fornecedores de equipamentos de Internet das Coisas. Basicamente, eles relacionam as dez maiores vulnerabilidades de sistemas IoT e propõe uma série de recomendações. Essas vulnerabilidades são as seguintes:
1. Insegurança na interface web;
2. Mecanismos de autenticação e autorização insuficientes;
3. Serviços de redes inseguros;
4. Ausência de criptografia nos dados transportados;
5. Preocupação com a privacidade
6. Insegurança na interface com a Nuvem;
7. Insegurança na interface com dispositivos móveis;
8. Configurações de segurança insuficientes;
9. Software e firmware inseguros
10. Segurança física defeituosa
No Brasil, não há diretrizes específicas para segurança da informação em território nacional, as definições de segurança são definidas especificamente em cada um dos setores e mercados da economia, por órgãos regulatórios ou pelos próprios participantes do mercado. Para exemplificar como o Brasil vem lidando com essa questão, iremos considerar o mercado financeiro de capitais, que é considerados uma das áreas mais regulamentadas do país, e comparar os requisitos de segurança exigidos de todos os Participantes do mercado. Nesse mercado, o Brasil possui a CVM (Comisão de Valores Mobiliários) responsável por regular todo o mercado de capitais, e esta outorga o poder de supervisão do mercado às próprias bolsas de valores. No caso, a BM&FBovespa, bolsa brasileira, emite um documento denominado “Roteiro Básico” [2] que define, de forma resumida e com um compilado das legislações emitidas pela CVM, as regras operacionais que todos os participantes do mercado (corretoras, bancos, empresas financeiros, agentes autonomos de investimentos e outros) devem seguir, inclusive em termos de Segurança da Informação. A tabela abaixo demonstra a relação entre os requisitos do OWASP e a relação com os requisitos do mercado de capitais brasileiro:
Em resumo, ainda que não possua nenhuma legislação ou diretrizes endereçadas especificamente para Internet das Coisas, o mercado de capitais brasileiro consegue endereçar minimamente as principais vulnerabilidades levantadas pelo OWASP, com exceção de aspectos específicos relacionados a privacidade e a informações armazenadas na nuvem (normalmente por terceiros). A expectativa é de que, com o surgimento de novas leis voltadas a privacidade e proteção de dados no Brasil (como o Projeto de Lei n° 5.276/2016), esses itens possam ser endereçados.
CONCLUSÃO
Não há na legislação brasileira, leis específicas que abordem questões de Internet das Coisas, entretanto, especialmente com o decreto do Marco Civil é possível verificar a preocupação brasileira em cobrir essa lacuna especialmente para assuntos de privacidade e proteção de dados, com a tramitação de alguns projetos de leis, claramente inspirados na legislação europeia, nos corpos legislativos. O que há hoje, são alguns conflitos de interesse, entre a atuação da justiça e o direito dos usuários, e as consequências, que em alguns casos não são proporcionais. Uma das alternativas levantadas aos fornecedores e proprietários das plataformas de Internet das Coisas e utilizar o conceito de privacy by design, para tentar mitigar a possibilidade de cair em um desses conflitos que existem hoje na legislação e já se preparar para as novas regulamentações que estão a caminho (é melhor já incluir isso na concepção do sistema do que ter que alterar depois que esta implementado e em produção).
Além do governo, órgãos regulatórios e de supervisão em diferentes setores da economia brasileira tratam especificamente estas questões. No exemplo deste artigo (mercado de capitais) foi possível verificar que a regulamentação, ainda que não preveja regras específicas para IoT, já possui diversas regras que cobrem boa parte das principais vulnerabilidades levantados pelo OWASP (provavelmente a principal autoridade, em termos de padronização, sobre proteção de dados em Internet das Coisas), com exceção de aspectos de privacidade e computação na nuvem (especificamente para dados armazenados por terceiros) e a expectativa é que com o decreto de novas leis sobre proteção de dados, haja o gatilho necessário para que isso seja exigido e supervisionado nesses mercados.
Isto posto, os assuntos discutidos neste artigo ns ajudam a responder a uma pergunta extremamente importante: com o advento da Internet das Coisas, como poderemos conciliar a questão da comodidade com a questão da invasão de privacidade? Parto do princípio de que a regulação é necessária para evitar tratamentos abusivos em relação a todos os dados que são coletados, e provavelmente as principais ações para resolver essa questão de maneira sistêmica devem partir dos órgãos regulatórios e de supervisão (preferencialmente aparados por instrumentos legislativos e segurança jurídica), batendo a tecla em três aspectos:
(i) Desconhecimento tecnológico pela maior parte dos usuários, o que impede que estes consigam proteger adequadamente seus dados (sendo alvos fáceis de engenharia social e outras práticas parecidas). O que exigirá do governo maiores campanhas de conscientização e outras práticas orientadas aos usuários;
(ii) Termos de uso abusivos por parte das plataformas, que rastreiam os dados e permitem que terceiros façam o mesmo, sem a transaprência adequada.A solução aqui passará pelas novas leis de proteção de dados, que deverá deixar mais claro a questão do consentimento — o usário precisa saber que seus dados estão sendo coletados, quais são os terceiros que estão acessando essas informações e qual a necessidade e propósitos deles para usarem estas informações;
(iii) Falta de informação das plataformas, que não notificam os consumidores sobre quais dados pessoais estão sendo coletados e nem de qual maneira eles estão sendo usados. E talvez aqui seja importante para os órgãos tomarem uma atitude parecida com as lojas de aplicativos e exigirem políticas mais rígidas de privacidade e proteção de dados, de forma a garantir toda a transparência necessária entre a plataforma e o usuário;
Há, portanto, a necessidade de uma uniformização das regulações jurídicas sobre Internet das Coisas, entretanto é necessário que o usuário não seja impactado negativamente por esta tecnologia. Pelo contrário, ele deve ser trazido para o centro da questão, a lei deve focar no empoderamento dos usuários para que as questões de privacidade e proteção de dados saiam fortalecidas. O objetivo é permitir que todos os usuários possam autogerenciar sua privacidade, ter controle sobre seus dados pessoais e decidir quais e quando abrir mão deles, mas para isso, é preciso aumentar a maturidade jurídica desse assunto no Brasil.
REFERÊNCIAS
[1] OWASP. “Internet of Things (IoT) Project”. 2014. Disponível em https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=OWASP_Internet_of_Things_Top_10_for_2014
[2] BSM Supervisão de Mercados. “Roteiro Básico BM&F”. Programa de Qualificação Operacional (PQO). BM&FBOVESPA. 2015. Disponível em http://www.bmfbovespa.com.br/pt_br/regulacao/programa-de-qualificacao-operacional-pqo/roteiros/
[3] Lei n° 12.965. “Marco Civil da Internet”. 2014. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
[4] Renato Opice Blum. “Whatsapp, criptografia e privacidade: as nuances do complexo dilema”. Medium, Julho de 2017. Disponível em https://medium.com/@opiceblum/whatsapp-criptografia-e-privacidade-as-nuances-do-complexo-dilema-afe1927c8f02
[5] Regras de Privacidades das Lojas de Aplicativos. APPLE: https://developer.apple.com/app-store/review/guidelines/; GOOGLE: https://play.google.com/intl/pt-BR_ALL/about/developer-content-policy-print/.
Saber mais:
