Por Günter Martin
Desde maio do ano passado, todas as empresas que operam na União Europeia precisam seguir normas do Regulamento Europeu Geral de Proteção de Dados (GDPR, na sigla em inglês). A regulamentação afeta, entre outros, fabricantes e fornecedores de produtos de IoT, conectados na internet, e que se comunicam de forma independente via web. Entretanto, os pesquisadores da TÜV Rheinland detectaram que algumas empresas não têm aderido à regulação de forma consistente, principalmente quando se trata da coleta e uso dos dados dos usuários.
O GDPR da União Europeia prevê a minimização de dados: os dados pessoais devem ser limitados ao que é necessário para fins de processamento e operação dos equipamentos IoT.
O processamento de dados pessoais está sempre sujeito a uma limitação de finalidade. No entanto, os consentimentos são frequentemente formulados de forma abrangente e permitem que os dados sejam usados para propósitos que nada têm a ver com a aplicação real. O mesmo também se aplica aos processos de segurança, criptografia e atualização de versões.
A questão da minimização de dados já deve ser levada em conta no design do produto. Tecnicamente, o dispositivo só deve ser capaz de fornecer dados que são necessários para o propósito acordado e que não podem ser coletados por outros meios. E os testes efetuados pela TÜV Rheinland mostram que os fabricantes ainda precisam fazer muitas atualizações quando se trata desse tema.
Enquanto fornecedores e usuários estão naturalmente se movendo na mesma direção quando se trata de segurança de dados e ambos os lados querem evitar ataques de hackers, há um conflito de interesses quando se trata de proteção de dados. Os fabricantes querem saber o máximo possível sobre seus dados.
Enquanto no GDPR o “direito ao esquecimento” – ou seja, a garantia de que os usuários possam ter seus dados apagados quando quiserem – está previsto no artigo 17 do Regulamento, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor somente em agosto de 2020, prevê que as empresas de IoT devem obter o consentimento do usuário de maneira clara, simples, objetiva e especificando a maneira como os dados serão tratados e com qual finalidade. Aqui, especialistas preveem que a necessidade de consentimento poderá ser um entrave para o funcionamento desses dispositivos.
Segurança no mundo digital
A proteção de dados e a confiabilidade dos sistemas digitais, bem como dos produtos inteligentes, são cruciais para a inovação e a confiança nos fabricantes e fornecedores.
Os serviços de uma entidade qualificada e independente podem contribuir para tornar os serviços digitais e produtos inteligentes mais seguros.
Com testes de proteção de dados ao consumidor é possível criar oportunidades de comparação de mercado que fortalecem a confiança nos fabricantes e, ao mesmo tempo, garantir segurança no mundo digital.
Günter Martin é Diretor do Centro de Excelência e Privacidade IoT da TÜV Rheinland em Colônia, na Alemanha