Introdução à Internet das Coisas e os Desafios Regulatórios

Grupo de Estudos em Direito e Tecnologia da Universidade Federal de Minas Gerais – DTEC - UFMG

Data: 14/09/2021

Relatores: Luíza Moreira de Carvalho e Renata Cavalcanti de Carvalho Garcia

INTRODUÇÃO À INTERNET DAS COISAS E OS DESAFIOS REGULATÓRIOS

O termo Internet das Coisas (Internet of Things – IoT) foi proposto por Kevin Ashton, em 1999, no Laboratório de Auto-ID do MIT, onde se realizavam pesquisas no campo da identificação por radiofrequência em rede (RFID) e tecnologias de sensores.

Ricardo Magrani, na obra Internet das Coisas, aponta que “Existem fortes divergências em relação ao conceitode IoT,não havendo, portanto, um conceito único que possa ser considerado pa­cífico ou unânime. De maneira geral, pode ser entendido como um ambiente de objetos físicos interconectados com a internet por meio de sensores pequenos e embutidos, criando um ecossistema de com­putação onipresente (ubíqua), voltado para a facilitação do cotidiano das pessoas, introduzindo soluções funcionais nos processos do dia a dia. O que todas as definições de IoT têm em comum é que elas se concentram em como computadores, sensores e objetos interagem uns com os outros e processam informações/dados em um contexto de hiperconectividade.”

Realizado debate sobre o assunto, um conceito de IoT foi construído pelo grupo de estudo DTEC, apresentando os seguintes elementos:

• visa oferecer bens e serviços: necessariamente o IoT atende a uma demanda que oferece bens ou serviços;

• opera em rede com utilização de qualquer protocolo: significa que os dispositivos conectados em rede irão operar em qualquer protocolo;

• sensores irão capturar os estímulos, e por meio de uma programação prévia a ação será iniciada;

• substituição da ação humana: definitivamente, a ideia é substituir a ação humana. Dessa forma, as “coisas” irão operar numa rede, e, por meio de uma programação prévia, a oferta/demanda de bens e serviços será realizada.

Dessa forma, o grupo conseguiu elaborar um conceito que, até o momento, não havia sido encontrado na bibliografia disponível.

Outra questão levantada no grupo foi se a conectividade entre os dispositivos de IoT deveria estar online durante todo o processo. Após considerações, o grupo concluiu que não havia necessidade da conexão online durante todo o processo.

Vários exemplos de IoT foram apresentados pelo grupo:

1. Sensores de incêndio em uma casa: se os sensores forem acionados mecanicamente, sem uma ação programada, não seria um IoT. Para o grupo, se os sensores de incêndio, ao serem ativados pelo calor, realizarem uma chamada para o corpo de bombeiros, nesse caso poderia caracterizar um IoT;

2. Geladeira que detecta falta de algum alimento, e já abre o pedido de compra para algum fornecedor;

3. Sensores que auferem os dados vitais do paciente e já acionam a ingestão de medicamento adequado.
   

Os dispositivos IoT demandam ampla coleta de dados, conectividade e algoritmos preditivos, muitas vezes sem a necessária clareza e indicação ao consumidor. Assim, os riscos de violações de dados e incidentes de segurança são evidentes, com danos diversos ao usuário, inclusive potencial discriminatório.

Cite-se que os regimes regulatórios existentes são insuficientes, necessitando de revisão, especialmente quanto à responsabilidade dos fabricantes e distribuidores de IoT, para compatibilizar as inovações do mercado com as questões de privacidade e segurança cibernética.

Existem diversas leis sobre privacidade e proteção de dados no mundo, como o GDPR (Regulamento de Proteção de Dados/Europa), a HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde/EUA) e a LGPD (Lei Geral de Proteção de Dados/Brasil), sendo imprescindível a observância, pelas empresas, das regras e princípios correspondentes, inclusive para a manutenção dos negócios.

Os principais desafios dos serviços/produtos IoT relacionados à privacidade e à segurança cibernética são (i) ciberatacantes podem alterar os dados para criar resultados discriminatórios; (ii) ciberatacantes podem atingir dispositivos IoT para coletar grandes conjuntos de dados e promover violações de dados em larga escala; (iii) grandes volumes de dados permitem a agregação para fins de venda, transferência e troca. Os fabricantes podem combinar dados criados por IoT com outras informações sobre os usuários; (iv) as tecnologias de IoT são baseadas em Big Data, IA e computação em nuvem, o que multiplica potenciais desafios para prevenir a discriminação, garantir a privacidade, proteger a segurança individual e proteger a propriedade; (vi) as leis existentes não protegem adequadamente os consumidores que compram produtos de IoT; (vii) remoção de dados potencialmente discriminatórios ou a "regulação dos algoritmos"; (viii) Termo de Aviso de Privacidade e o modelo tradicional de consentimento do usuário – necessidade de equilibrar os interesses do mercado e do consumidor, de forma mais eficaz; (ix) exposição de informações de crianças e outros vulneráveis.

VISÃO GERAL SOBRE O CENÁRIO REGULATÓRIO

Os Estados Unidos ainda não desenvolveram um marco regulatório abrangente para IoT, Big Data e IA. As leis de privacidade e de segurança cibernética existentes, fornecem uma proteção mínima para serviços IoT em setores específicos e de alto risco. Por exemplo, para serviços de saúde e dispositivos médicos, duas leis regulam a privacidade e a segurança dos serviços e dispositivos para os consumidores: HIPAA e a Lei de Alimentos, Medicamentos e Cosméticos. Outros exemplos são os dispositivos IoT que afetam a privacidade das crianças, como brinquedos conectados, regulados pela COPPA, com exigência de coletar consentimento explícito e verificável de um pai e o direito de parar o processamento de informações pessoais.

Na União Europeia, a GDPR e a Diretiva de Segurança Cibernética de Informações de Rede (NIS Directive) abordam questões mais abrangentes que as de privacidade e de segurança cibernética, oferecendo modelos potenciais para a regulação da IoT.

Sabe-se que, cada vez mais, empresas e governos têm feito uso de machine learning, para tomar ou dar suporte a decisões com forte impacto na vida dos indivíduos, variando desde o preço e a disponibilidade de bens e serviços on-line, a elegibilidade para obtenção de crédito ou benefícios previdenciários, até decisões relativas à reincidência criminal. Só que o GDPR prevê salvaguardas legais que recaem sobre tais decisões automatizadas, como os direitos do titular de dados à explicação e também à oposição, como prevenção de injustiças e discriminações. A Diretiva NIS, por sua vez, estabeleceu uma estrutura mais robusta de cibersegurança para setores críticos de infraestrutura, tais como: saúde, bancos, mercado financeiro, energia, transporte, água e infraestruturas digitais.

A partir dessas considerações, e num cenário ideal, a regulação de IoT deve buscar o equilíbrio entre os interesses do mercado com os avanços da tecnologia e a proteção adequada ao consumidor. São necessárias medidas de transparência e controle, com o prévio aviso de privacidade, o consentimento dos usuários de IoT, a opção de correção de injustiças e de oposição ao processamento automatizado.

Os regulamentos também devem incentivar o uso de metodologias diferenciais de privacidade, como pseudonimização, anonimização ou criptografia, o que reduziria os riscos de segurança cibernética e as obrigações com notificação de violação de dados.

Outra solução seria o armazenamento de Big Data em provedor em nuvem. Um armazenamento de dados pessoais abriga dados de uma variedade de dispositivos e origens para um indivíduo. Os benefícios incluem armazenamento padronizado de dados, pontos de origem identificados, registros de solicitações de dados e dados gerais capturados. Ter um repositório central e comum não só poderia melhorar as necessidades de acesso e simplificar as solicitações de dados, mas também poderia permitir que usuários tomassem decisões sobre seus dados, como limitações no compartilhamento a terceiros.

NEUTRALIDADE DA REDE, PATENTES E OUTROS DESAFIOS

A implementação da IoT exige um alto nível de velocidade e tempo de latência baixo. Assim, considerando a insuficiência da estrutura das redes móveis, seria necessário priorizar certos serviços, como por exemplo uma cirurgia à distância, em detrimento do tráfego de dados de serviços menos essenciais.

Há, ainda, uma discussão sobre a (im) possibildiade de patentear softwares. Patentear um software em si não parece, à primeira vista, possível porque que não são considerados invenções ou modelos de utilidade. No entanto, Thing, que é a mistura de software, hardware parece atender aos requisitos para ser patenteado. Existem discussões candentes em alguns países acerca da inclusão dos softwares como passíveis de patentes, o que encorajaria o desenvolvimento tecnológico.

Outro ponto que envolve o desafio da regulamentação da IoT diz respeito ao uso de biometria, peça-chave para impulsionar aplicações da IoT, tanto no varejo quanto na autenticação multifator. Muito embora a biometria possa ser um reforço à segurança, ela também representa um risco, na medida que não é rígida e não pode ser alterada como as senhas, comprometendo o direito à privacidade.

Enfim, a IoT ainda enfrentará diversos desafios regulatórios. Diversos países, têm se mobilizado para resolver alguns problemas. No Brasil, o Decreto n° 9.854/2019 instituiu o Plano Nacional de Internet das Coisas (IoT), com premissas relevantes para o setor essencial do desenvolvimento e da transformação digital. Também temos a Lei Geral de Proteção de Dados, que estabelece diretrizes para o tratamento de dados de pessoas no país. Na Itália, foi formado um comitê permanente de comunicação M2M, coordenada por ministros. O Reino Unido, por sua vez, definiu que a legislação deve ser mantida ao mínimo necessário para facilitar o desenvolvimento da IoT.

Uma solução, proposta por Guido Noto, seria (i) usar a privacidade como uma vantagem competitiva para o marketing e trabalhar com a regulação fragmentada por setor (saúde, planejamento urbano, transporte, etc.). Para o autor, melhor opção regulatória para a IoT seria um (ii) consenso internacional, com a criação de princípios e normas fundamentais, (iii) a co-regulação, proporcionando um quadro geral regras e (iv) a conscientização e educação da sociedade, isso porque o ser humano está e deve estar no centro das tecnologias que aspiram ser sustentáveis ​​e empoderadoras.

Bibliografia Base

RAYES, Ammar, SAMER, Salam (auth.) - Internet of Things From Hype to Reality - The Road to Digitization, cap. I

TSCHIDER, Charlotte A. - Regulating the Internet of Things: Discrimination, Privacy, and Cybersecurity in the Artificial Intelligence Age

LA DIEGA, Guido Noto - The Internet of Citizens - A Lawyer's view on some technological Developments in The United Kingdom and India

Bibliografia Complementar

MAGRANI, Eduardo. A internet das Coisas. Editora FGV, 2018.

BRASIL. LGPD. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709

BRASIL. LEI Nº 14.108, DE 16 DE DEZEMBRO DE 2020. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/L14108.htm

BRASIL. DECRETO Nº 9.854, DE 25 DE JUNHO DE 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9854.html