A segurança na Internet das Coisas tem diversas camadas e sentidos que devem ser abordados não apenas com foco na atuação reguladora, mas também da forma mais preventiva possível e sem permitir a apropriação indevida dos dados gerados. Essa é a visão de especialistas manifestada durante debate no workshop sobre desafios jurídicos da IoT realizado nesta terça, 7, na FGV Direito SP. E um dos pontos fundamentais é caminhar com uma lei de proteção e privacidade de dados no Brasil.
A professora da Faculdade de Direito de Ribeirão Preto da USP, Cíntia Rosa Pereira, explica que há a necessidade de o País adotar uma lei de privacidades até para poder receber informações de cidadãos estrangeiros, citando a política europeia de proteção de dados. Na opinião dela, não adianta ter uma legislação específica que não seja adequada à circulação entre países. “Para que o Brasil se insira no capitalismo transnacional, é necessária ter uma proteção eficiente: uma lei com aplicabilidade que garanta a segurança dos usuários”, declara.
Um dos pontos fundamentais para isso, defende, é a criação de uma entidade independente multissetorial, seguindo passos do adotado pela União Europeia na Convenção de Estrasburgo. Ela dialogaria para editar padrões legislativos, ou mesmo atuando com a aplicação (enforcement) de regulação quando fosse necessário. “É fundamental que o Brasil tenha essa entidade independente, inclusive para atrair investidores e participar de maneira mais atuante no mercado internacional.” A coordenadora-geral de estudos e monitoramento de mercado da Secretaria Nacional do Consumidor, Dim Michelle Rodrigues, concorda. “Tem um ano que estou no Ministério (da Justiça) e pelo menos duas vezes por mês somos chamados para nos manifestar em acordos internacionais para colaborar sobre qual a posição brasileira em dados pessoais”, explica. “A ausência de lei cria dificuldade enorme para o Brasil.”
O pesquisador do GPoPAI-USP e da LAVITS, além de assessor jurídico do NICbr, Bruno Bioni, diz que não apenas o País precisa da lei, mas também de um sistema de aplicação atuante. Essa ação regulatória não seria feita apenas com a “mentalidade punitiva” ex-post, uma vez que isso levaria setores a encarar a privacidade e proteção de dados como um custo, levando-os a “testar” os limites da legislação. Ele sugere um modelo de co-regulação de baixo para cima (bottom-up) e ex-ante com poder de estimular boas práticas. “Não vamos só punir, mas premiar comportamentos desejáveis”, diz. Poderia ser colocado como estímulo também para o financiamento de novos entrantes.
A posição do pesquisador em telecomunicações do Instituto de Defesa do Consumidor (Idec), Rafael Zanatta, é que alguns elementos fundamentais para uma lei de proteção de dados, como a princípios de finalidade legítima e princípio de necessidade, defendidos pela Comissão Federal de Comércio dos EUA (FTC), estão presentes no PL 5.276/2016. “Esse projeto de Lei é o mais adequado e capaz de oferecer estrutura jurídica minimamente qualificada”, diz. Ele também defende a adoção de padrões de segurança open source, para ter maior acesso aos protocolos utilizados, e uma composição multissetorial de uma autoridade independente. O projeto de lei ainda aguarda parecer nas comissões de Ciência, Tecnologia, Comunicação e Informática (CCTCI); de Constituição e Justiça e de Cidadania (CCJC); e de Trabalho, de Administração e Serviço Público (CTASP).
Lei também: Segurança da Informação – suporte ou divisão estratégica das empresas.
Big brother
Não apenas a segurança dos dados em si, mas também a apropriação das informações coletadas é uma preocupação. “Se um dado existe, se ele foi coletado e se é guardado pela empresa, autoridades pública vão cobiçar”, declara a pesquisadora do InternetLab, Jacqueline de Souza Abreu. Ela cita o caso da regulamentação do Uber pela prefeitura de São Paulo, que condicionou a liberação do aplicativo ao acesso às informações das viagens. Com isso, toca na ferida de que a IoT pode viabilizar a criação de “um imenso aparato de vigilância que poderá ser usado pelo estado”, com potenciais ainda mais danosos do que as tentativas judiciais de obter quebra de criptografia fim a fim em aplicativos de mensagens. “A gente está ainda entrando na idade de ouro da vigilância”, alerta.
Abreu explica que é preciso pensar em direitos fundamentais para que isso não ocorra no Brasil, até porque afeta também empresas, trazendo insegurança jurídica. “Facilita abusos por parte de autoridades e isso é importante porque não queremos juiz mandando bloquear a Internet das Coisas, e as empresas não querem que seus executivos sejam presos.” As propostas que a pesquisadora sugere são de uniformizar a legislação no acesso das autoridades públicas aos dados, incentivar o princípio de interpretação da legislação existente e antecipar problemas de interoperabilidade jurídica com empresas internacionais.
Ciberguerra
Outro viés da segurança de IoT, também urgente, é o da segurança física dos dispositivos e de sua integridade. O representante da Frente Parlamentar Cidades Inteligentes e Humanas e vice-presidente de cibersecurity da ISCBA, Johnny Doin, lembra que recentes ataques utilizaram brechas em roteadores e câmeras de segurança para derrubar boa parte da Internet nos Estados Unidos em ataque de negação de serviço (DDoS). E afirma também que redes móveis como a GSM em 3G e 4G estão “entre as mais frágeis do planeta, levando apenas 100 ms para serem quebradas”. Ele sugere o uso de blockchains (tipo de registro de transações usado para bitcoins) na identificação e autenticação de dados e dispositivos, além de um diálogo com a indústria exigindo não apenas a segurança em IoT, mas a proteção dessa rede.
O coordenador do Projeto Privacidade Brasil, Danilo Doneda, alerta para perigos ainda maiores, como uso de redes IoT para ciberataques de grande porte em serviços de fornecimento de energia, por exemplo. Mas chama atenção para que uma regulação que trate do assunto seja feita de forma “pragmática e ausente de paixões”, até para conscientizar empresas e usuários. “O mercado está preocupado em fornecer sensores, devices baratos como lâmpadas que podem ser controladas remotamente, mas que podem (ser violadas para) atacar uma usina hidrelétrica. É uma falha de mercado porque não há incentivo para o consumidor se preocupar mais”, declara.