Home  >  Segurança

Quanto valem seus dados?

Reflexões acerca da importância de uma gestão responsável de dados na Era Digital

Fernanda Quental, Isabella Buck Shores e Gabriel Sacramento*

20/12/2018 às 8h04

Foto: Shutterstock

A respeito de possíveis violações causadas pelo uso da Internet, é importante pontuar o conceito e as consequências da chamada internet das coisas. A IoT (Internet of Things) consiste na conexão, em rede, de pessoas e objetos em bases de armazenamento de dados em nuvem, através da implantação de tecnologias sensíveis instaladas em dispositivos (móveis ou não), permitindo a interação entre eles.

Em outras palavras, a internet das coisas é nada mais que a extensão da Internet ao mundo real, tornando possível a interação entre objetos e pessoas afinal, atualmente, a maioria dos objetos possuem tecnologias que permitem a conexão com a Internet.

Por um lado, tais inovações são interpretadas como verdadeiros facilitadores da vida moderna, uma vez que possibilitam que o usuário minimize possíveis imprevisibilidades de seu dia e, ao mesmo tempo, o torne o mais produtivo possível. Para ilustrar essa situação, podemos pensar em um caso extremamente simples: através do fornecimento de informações de sua localidade a aparelhos celulares um usuário poderá, ao acordar, antecipar uma possível tempestade e escolher sua roupa adequadamente, além de saber, de primeira mão, se durante seu trajeto para o trabalho, por exemplo, terá que enfrentar algum tipo de dificuldade que possa atrasa-lo (como seria o caso de um congestionamento causado por um acidente de carro). Certo é que, na ausência deste aparelho, o usuário jamais saberia com tanta certeza o que lhe esperava ao longo de seu dia.

Por outro lado, apesar de se tratar de uma inovação já presente na rotina de muitas pessoas, existem diversas implicações que o acesso à objetos inseridos em um contexto da vida pessoal, como televisões, rádios-relógio, brinquedos para crianças e celulares, podem acarretar, considerando, em especial, que tais objetos são alimentados por dados pessoais.

A temática de segurança da informação assume um caráter primordial no ambiente de internet das coisas, uma vez que tem como desafio estruturar o país para lidar com o tema de forma satisfatória e em conformidade com as discussões que têm ocorrido em âmbito internacional. A importância da abordagem correta e cuidadosa do tema reside, principalmente, no fato da grande maioria dos usuários desconhecer todas as funções dos seus aparelhos eletrônicos e a real destinação dos seus dados captados por estes aparelhos.

Existem muitos casos envolvendo a interação de pessoas e objetos conectados à Internet, que servem como alerta sobre o perigo da violação à privacidade e a segurança de informações pessoais.

O caso do dispositivo Alexa, da empresa Amazon, é bastante conhecido e comentado dentro do tópico tecnologia e privacidade de dados. Alexa é como foi batizada a assistente virtual dos dispositivos da referida empresa norte-americana (100% conectada à Internet) que, através de um serviço de voz, permite aos seus usuários interagir com muitos outros aplicativos. Trata-se de um objeto pequeno e de pouquíssimos botões, que tem todo o seu funcionamento pautado em simples comandos de voz.

A segurança do dispositivo foi gravemente questionada após um recente episódio nos Estados Unidos, em que a Alexa gravou uma conversa íntima de um casal dentro de sua casa e encaminhou o conteúdo da discussão para uma pessoa aparentemente aleatória de sua lista de contatos .

Apesar do pronunciamento oficial da empresa em seguida ao incidente, que se reduziu a afirmar que o dispositivo foi acionado através de determinadas palavras captadas na conversa do casal (segundo a empresa, uma delas teria uma pronúncia semelhante à palavra ‘Alexa’, ligando, assim, o aparelho e, a partir disso, o mecanismo passou a extrair outros comandos ao longo do diálogo), pouco se sabe ainda sobre a falibilidade de aparelhos desse gênero e a transparência das informações ao consumidor no momento de sua aquisição.

A grande ‘sorte’ dos interlocutores, o que permitiu controlar maiores danos, foi o fato da pessoa para quem o conteúdo da conversa foi enviado ter sido uma funcionária do marido que, ao perceber o que havia acontecido, imediatamente entrou em contato com a família, alertando para o aparelho aparentemente hackeado.

Pareceria um problema menos preocupante e grave, se a possibilidade de terceiros adentrarem sistemas e softwares presentes em gadgets pessoais se reduzisse tão somente a dispositivos que promovem primordialmente a conectividade entre aplicativos, tal como é o caso da Alexa, ou do Google Home (Google) e Siri (Apple).

Ocorre que, um outro evento, no final do mês de agosto de 2017, também nos Estados Unidos, expôs, mais uma vez, a fragilidade dos programas, softwares e dispositivos desenvolvidos pelas gigantes de tecnologia: milhares de norte-americanos foram comunicados sobre a necessidade de atualizar seus marca-passos sob o risco de tais objetos serem invadidos por ataques cibernéticos.

Tais marca-passos (pacemakers, em inglês) eram capazes de enviar dados por wi-fi para o controle de médicos de informações cardíacas de seus pacientes. Entretanto, os sistemas dos referidos marca-passos possuíam uma falha e precisavam ser atualizados pela empresa desenvolvedora. Esta falha permitiria que os aparelhos fossem acessados por “hackers”, sendo possível o acesso a dados sensíveis dos pacientes, além da possibilidade de alteração do funcionamento dos aparelhos, criando um enorme risco de vida para os seus usuários.

Estes são apenas alguns dos possíveis casos de violação de direitos que podem ser trazidos pela Internet das Coisas. Os episódios narrados acima demonstram que a tecnologia, apesar de trazer benefícios práticos para aqueles que dela usufruem, provoca, ao mesmo tempo, riscos, incertezas e inseguranças – que resultam, na grande maioria das vezes, do desconhecimento ou da ignorância dos usuários, não apenas dos termos e condições de uso daquele aparelho, mas também da falta de transparência das informações que são colhidas por parte do fabricante/desenvolvedor e da destinação à elas empregada.

Em tempos de sociedade conectada, certo é que a informação passou a ser nada mais que um bem (muito) valioso. A coleta de dados cardíacos de pacientes, por exemplo, é relevante e interessante para farmacêuticas, desenvolvedoras de equipamentos médicos, e muitas outras empresas ligadas à área da saúde – esta, que lucra aproximadamente 3 trilhões de dólares ao ano apenas nos Estados Unidos .

A coleta de dados pessoais em geral (sejam eles de caráter médico, financeiro ou íntimo, por exemplo) é, portanto, uma moeda de troca entre empresas privadas e seguradoras e bancos, que compram essas informações como uma maneira de assegurar suas decisões comerciais. À título ilustrativo, estima-se que a indústria de saúde norte-americana poderia economizar até 200 bilhões de dólares , se técnicas de análise mais avançadas e precisas fossem aplicadas em dados médicos de pacientes de forma a localizar padrões e evitar, assim, o recall de produtos no mercado, por exemplo.

Os episódios narrados acima, que ilustram a fragilidade no tratamento de dados, trouxeram inúmeras incertezas, mas uma conclusão é certa: o quadro é irreversível e a tendência é que cidadãos comuns se sintam cada vez mais no dever de clamar por seus direitos à intimidade e à privacidade.

Em outros termos, a seriedade com a qual a proteção de dados pessoais passou a ser encarada por estudiosos do tema em geral, assim como por aqueles preocupados com os seus efeitos econômicos e mercadológicos (como é o caso das grandes empresas de tecnologia e informação), justifica-se também pelo ainda que tímido (mas certamente crescente) interesse do cidadão comum de reclamar pela segurança de seus dados íntimos.

O fato de objetos contendo informações de usuários estarem inseridos em ambientes de intimidade dos indivíduos e possuírem a capacidade de serem acessados por terceiros através de seus microfones e câmeras (uma vez que estão conectados à Internet), nos faz concluir que a definição de privacidade como “o direito de ser deixado só” perde a sua essência em um ambiente carecedor de informações claras e uniformes sobre os direitos do indivíduo em meio a essa enorme biblioteca de dados pessoais.

Nesse sentido vale lembrar que a preocupação com a proteção de dados ganhou relevância também após os fatídicos vazamentos de informações por Edward Snowden, responsável pela divulgação de documentos que revelaram ao mundo o alcance da espionagem norte-americana, que violava a privacidade não só de cidadãos e líderes estrangeiros, mas também de civis ao redor de todo o mundo.

Na maioria das vezes, o objetivo da conexão entre objetos e a Internet é a coleta de dados massivos de seus usuários a fim de otimizar as funcionalidades dos dispositivos. Além disso, através do entendimento do perfil dos usuários, é possível aumentar as vendas e os lucros das empresas. Nesse contexto, a pergunta que surge é: tal coleta vem sendo feita de forma coerente e razoável para os fins que serão usados?

Como ainda somos embriões no que tange à extensão e a importância do uso de dados pessoais, basta pensarmos em mais um caso inédito ocorrido também nos Estados Unidos que, como se viu, é o país-palco de todos estes últimos escândalos do universo digital: a investigação sobre um incêndio levou as autoridades norte-americanas a concluírem que um crime havia sido cometido pelo próprio proprietário do apartamento.

Algo antes inimaginável, o seu marca-passo foi usado como meio de prova, uma vez que se atestou, durante a apuração dos fatos, que seus batimentos cardíacos não condiziam com a sua versão da história. O protagonista da história acabou sendo preso e, posteriormente, indiciado por incêndio criminoso e fraude de seguro, como relata a reportagem curiosamente intitulada “O seu próprio marca-passos pode agora testemunhar contra você no Tribunal” (no título original, Your Own Pacemaker Can Now Testify Against You In Court) publicada pelo site Wired .

Tem-se, assim, um precedente que certamente poderá contribuir para drásticas mudanças comportamentais em um futuro muito próximo e, mais do que nunca, extremamente imprevisível.

Diante dos eventos relatados acima, surgiu a discussão, que posteriormente foi consubstanciada na elaboração de uma lei específica, a respeito da necessidade de regulamentação da coleta, utilização e, até mesmo, do descarte de dados. No Brasil, em 14 de agosto de 2018 foi aprovada a Lei Nº 13.709, Lei Geral de Proteção de Dados (LGPD), que regula o tratamento da matéria em território nacional e, atualmente, encontra-se em vacacio legis, entrando efetivamente em vigor em fevereiro de 2020.

A LGPD traz em seu escopo o que seria considerado dado pela legislação brasileira. Trata-se de qualquer informação de pessoa física identificada ou, ao menos, identificável – o que inclui nome, e-mail, CPF, RG, geolocalização, endereço de IP ou, ainda, dados sensíveis que, por sua vez, são dados biométricos, relacionados à saúde e que revelem etnia, origem racial ou orientação sexual, por exemplo.

Deste modo, partindo da conceituação de dados pela legislação brasileira, é possível perceber que a coleta a princípio indiscriminada de dados por aparelhos tecnológicos ou websites (Alexa, Siri, Google Home, dados de geolocalização) encontra-se, agora, regulamentada, o que faz com que sua captação e tratamento deva ser tratada de forma mais cuidadosa.

Cumpre notar que, de acordo com a legislação brasileira, estarão submetidos à LGPD não apenas aquele que coleta dados em território nacional, mas também quem realiza o tratamento de dados no Brasil ou, ainda, quem oferta ou fornece bens ou serviços em território nacional. Diante disso, percebe-se que, na tentativa de salvaguardar o usuário, tido como vulnerável, o escopo de proteção da LGPD é bastante amplo, o que reflete diretamente a atual preocupação com direitos fundamentais, especialmente os direitos à privacidade e à intimidade.

Em linhas gerais, com a nova regulamentação, além do necessário consentimento expresso para a captação de dados pessoais, é preciso, ainda, que haja uma finalidade na efetiva captação e manutenção. Em decorrência do Direito à Informação, é preciso que toda a comunicação com o titular dos dados seja feita de forma clara e objetiva, de modo a refletir transparência da captação e do tratamento dos dados coletados por entidades públicas ou privadas.

É importante ainda ressaltar que, de modo a coibir práticas abusivas com relação à gestão de dados, a LGPD traz sanções que poderão ser aplicadas pela Autoridade Nacional – cargo ainda a ser criado – aos denominados agentes de tratamento (que são as entidades públicas ou privadas que captam e tratam dados pessoais). As multas poderão alcançar 2% do faturamento da empresa limitando-se ao total de R$50.000.000,00 (cinquenta milhões de reais) por infração, sem exclusão do direito do titular dos dados captações em dissonância com o disposto na legislação de haver ressarcidos seus direitos decorrentes de danos morais e patrimoniais sofridos com a captação indevida ou divulgação de seus dados pessoais.

Dessa forma, considerando que a Era Digital atual nos insere em constantes evoluções e desenvolvimentos tecnológicos, percebe-se que os dados pessoais e sensíveis acabam por se tornarem os bens mais valiosos dos usuários. Em tempos de contratos de adesão, é preciso estar preparado para enfrentar as modificações advindas da LGPD para garantir o cumprimento das regras de captação, tratamento e descarte de dados evitando, com isso, a incidência de multas, que muitas vezes podem se tornar inviabilizadoras da própria atividade empresarial.

Considerando a tendência cada vez maior da oferta de dispositivos integrados e conectados ao seu usuário (como a Alexa, mencionada neste artigo) e, também, da constante busca por inovação e tecnologia (utilizando dados de marca-passos para atualização do histórico do paciente, por exemplo), é preciso estar preparado para alinhar tecnologia às normas trazidas pela legislação para uma gestão correta e eficiente de dados coletados por aparelhos e websites. Acredita-se, desta forma, que o maior desafio da atualidade seja entregar inovação em consonância com a coleta e tratamento responsável de dados.

Portanto, neste período de adaptação, antes da entrada em vigor da LGPD, é preciso que as empresas se conscientizem sobre a importância da elaboração de plano de gestão de dados eficiente de forma a dirimir os riscos advindos da regulamentação trazida pela nova lei, adaptando, com isso, contratos – incluindo os de adesão – e a comunicação com o consumidor. Desse modo, deve ser priorizada a transparência no relacionamento com o usuário de produtos e serviços e, também, a disponibilização da inovação em produtos e serviços que correspondam a expectativa de uma sociedade conectada.

*Fernanda Quental – Advogada da Daniel Advogados; Isabella Buck Shores – Advogada da Daniel Advogados; Gabriel Sacramento – Advogado da Daniel Advogados