De acordo com o relatório da empresa Million Insights, o mercado global de segurança de dispositivos de internet das coisas (IoT) deve atingir US$9,88 bilhões até 2025. Mundo afora, as regulamentações dos governos sobre privacidade de dados coletados por dispositivos IoT de vários setores têm se tornado mais rígidas e rigorosas.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), aprovada em agosto de 2018 e em vigor desde setembro de 2020, estabeleceu normas para a coleta e tratamento de dados pelas empresas. Seu objetivo é garantir a privacidade e a proteção de dados pessoais e promover a transparência na relação entre pessoas físicas e jurídicas. Porém, segundo levantamento realizado pela consultoria ICTS Protiviti, 84% das empresas brasileiras não estão preparadas para as novas regras de privacidade de dados.
A IoT é baseada na captura e transmissão de dados para serem tratados, ou seja, para qual finalidade eles serão utilizados. Quando esses dados estão ligados a pessoas, onde toda operação, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, são consideradas pela lei como tratamento de dados pessoais.
Temos hoje um grande número de dispositivos que transmitem um volume imenso de dados. Por exemplo, informações trafegadas pelas redes M2M celulares ou LoRa, como localização de veículos pessoais, imagens de câmera, sensores de presença e outros usados em alguns milhões de painéis de alarme domésticos no Brasil. Cada vez mais dados são coletados em equipamentos conectados à nossa volta e os meios de conexão ainda não são, em sua maioria, adequadamente protegidos ou controlados como é exigido por lei.
A segurança da informação e o vazamento de dados são apenas alguns dos desafios encontrados relacionados ao tratamento de dados pessoais para desenvolvimento de IoT em conformidade com a LGPD. Há ainda questões relacionadas à falta das informações por parte dos usuários; possíveis dificuldades em obter um consentimento válido pelos usuários; o tratamento de dados pessoais gerados por inferência em relação aos dados originalmente tratados e o consequente uso de dados para atividades diferentes daquelas para as foram originalmente coletados; as definições de padrões de comportamento de forma intrusiva e a dificuldade de anonimização de dados quando da utilização dos serviços.
“Quando falamos em comunicação M2M, a LGPD se aplica da mesma maneira, pois cada vez temos mais dispositivos conectados e tratando dados sensíveis, aumentando risco de vazamento desses dados” ressalta Sergio Souza, Vice-Presidente para a América Latina da KORE.
Sergio destaca pontos importantes de atenção para a adequação à LGPD em IoT:
• Clara compreensão daquilo que é exigido pela lei: Entender como funciona a nova lei é fundamental para adequar os dispositivos que captam dados pessoais e como estas informações podem ser utilizadas. O tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular;
• Desenvolvimento de estratégias de mitigação de riscos na concepção de novos produtos e serviços: Novos produtos e serviços que capturem dados pessoais já devem ser pensados com tecnologias e medidas técnicas e administrativas que inibam ou corrijam possíveis vulnerabilidades;
• Transparência no tratamento de dados: As ferramentas, configurações e funcionalidades de privacidade devem ser claras, visíveis e fáceis de encontrar e utilizar. Além disso são necessários mecanismos de transparência específicos para dados sensíveis;
• Delegação da proteção de dados pessoais a uma pessoa ou grupo de pessoas dentro da organização: Ao delegar a proteção de dados pessoais é necessário que a pessoa, ou setor responsável ateste que adotou todas as medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais exigidas na lei.
Mesmo em tratamentos M2M, as empresas devem criar mecanismos que ofereçam segurança e privacidade dos dados sensíveis. Nos dispositivos da KORE, por exemplo, são permitidas ações de acordo com regras e alertas baseados em endereços IP de destino, protocolos e portas, bem como números de identidade de dispositivos móveis.
Além disso, por meio de monitoramento de tráfego em tempo real e gerenciamento de endpoint, é possível detectar interrupções na rede, picos de tráfego e ataques de negação de serviço para que a empresa possa resolver os problemas antes que afetem os negócios.
Outra ação de segurança é o fornecimento de criptografia AES-256 – virtualmente impenetrável – de todo o tráfego e arquivos armazenados, juntamente com monitoramento do Centro de Operações de Rede Global da KORE. “A IoT depende da colaboração de todos os players envolvidos, de provedores locais a fornecedores de equipamentos. Por isso, a adequação à LGPD também deve seguir a mesma lógica de cooperação” finaliza Sergio.
