A Internet das Coisas e a proteção de dados pessoais
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
29 de janeiro de 2018
Muito provavelmente, você já deve ter notado que, ao utilizar uma rede social como o Facebook, o Instagram, entre outras, surgem diversos anúncios patrocinados ao longo do seu feed. Talvez tenha percebido, também, que, muitas vezes, os produtos anunciados são justamente itens pelos quais você havia pesquisado online pouco tempo antes de acessar a rede social. Pode parecer até mágica: em um instante, você está buscando por algo em uma loja online; no instante seguinte, esse exato produto surge como uma sugestão de compra em um anúncio da mesmíssima revendedora cujo site você acessou, minutos antes. Será isso apenas coincidência?
A resposta é simples: claro que não. O que acontece com redes sociais como o Facebook é que são empregados os famosos “cookies” (informações de navegação salvas pelos sites que acessamos) para detectar os interesses pessoais de cada usuário e direcionar para os mesmos o anúncio mais pertinente, dentre os diversos anunciantes que pagam por um espaço comercial no site. É desses anúncios que vem grande parte do lucro do Facebook, por exemplo – apesar de parecer “gratuita” à primeira vista, a verdade é que os usuários da rede social “pagam” pelo serviço fornecendo seus dados para a empresa, que usa essas informações para distribuir as propagandas de cada anunciante da maneira mais eficiente o possível.
Disso tudo, pode-se tirar a conclusão de que, no mundo atual, onde praticamente tudo é interconectado, os dados produzidos por cada um de nós são de enorme valor – e as empresas já perceberam isso, e usufruem dos dados dos clientes sempre que possível, para fins de interesse próprio – lembra-se da última vez que perguntaram pelo seu CPF em um supermercado ou drogaria? Pode ter certeza que essa informação foi usada para integrar um banco de dados com o seu perfil de consumo nesses lugares, a fim de oferecer descontos personalizados com base nessas informações em troca da quebra da sua privacidade.
O fato é que vivemos em uma realidade em que, querendo ou não, os dados pessoais são considerados o “novo petróleo”, devido ao seu imenso potencial de lucro mediante uso direto ou mesmo venda para outros agentes que se aproveitam das informações compradas. A preocupação só aumenta com a ciência de que esses dados não se limitam às informações das suas compras em um determinado lugar ou das buscas que você faz online: essas informações dizem muito mais sobre você do que se pode imaginar em um primeiro momento – são capazes de denunciar, por exemplo, quando você consumiu mais álcool do que de costume, se tem uma doença sexualmente transmissível ou uma condição delicada de saúde, entre muitos outros. Em uma realidade em que vigora a Internet, seus dados são você.
Nesse mesmo contexto, recentemente, vivenciamos o surgimento do fenômeno da Internet das Coisas, que consiste, basicamente, na implementação de uma conexão à Internet para os utensílios que utilizamos no cotidiano. Esses utensílios coletam dados de seus usuários para funcionarem e os enviam via conexão à Internet para as empresas que os desenvolvem. Desse ponto, a mesma história de antes se repete: os dados podem ser explorados de diversas maneiras. E o problema não se restringe ao uso dos dados por empresas: qualquer aparelho conectado à Internet de maneira descuidada (sem o uso de protocolos de criptografia, por exemplo), possibilita que qualquer pessoa com conhecimento técnico suficiente na área tenha acesso a todas as informações que se pode extrair desses utensílios, incluindo localização, nomes, os padrões de consumo e hábitos cotidianos mencionados anteriormente, entre diversos outros – as possibilidades são praticamente infinitas.
A principal questão que permeia a Internet das Coisas e a (falta de) proteção de dados diz respeito à escala na qual torna-se possível a coleta e utilização dos nossos dados pessoais. Imagine uma casa na qual os eletrodomésticos são, em sua maioria, conectados à Internet – uma geladeira e uma adega que encomendam do supermercado o que estiver faltando de maneira autônoma; um fogão que envia mensagens quando seu alimento estiver pronto, para que você não esqueça, ou que seja ligado automaticamente quando você sai do trabalho, para que o jantar esteja pronto no momento em que você chegar em casa, entre diversas outras possibilidades. Agora imagine também que nessa casa haja fraldas que twittam para você sempre que seu filho as sujas, além de brinquedos que interagem com as crianças mediante diversos sensores (microfones, câmeras, etc.) e uma conexão à Internet, para possibilitar buscas online e uma interação mais “realista” com os humanos. Percebeu a proporção na qual passa a acontecer a potencial coleta dos nossos dados, e o ambiente restrito de privacidade que essas tecnologias possibilitam?
Pode parecer uma previsão exageradamente pessimista, mas é uma realidade que já está, aos poucos, se aproximando cada vez mais do nosso cotidiano. No ano de 2015, por exemplo, um modelo da popular boneca Barbie, denominado “Hello Barbie” foi anunciado e motivou uma extensa discussão acerca de riscos à privacidade. A boneca seria capaz de ouvir seus arredores e, através de uma conexão Wi-Fi, fazer buscas online para interpretar os sons ao seu redor e responder de acordo, dessa forma “conversando” com o usuário.
Desde o anúncio da boneca, houve certo receio da população, que temia a possibilidade de espionagem (até em decorrência de cláusulas constantes nos Termos de Uso do brinquedo, que mencionavam a armazenagem dos áudios gravados pela fabricante, além do uso dos mesmos para aprimorar a inteligência da boneca e “outras pesquisas e desenvolvimentos ou para propósitos internos”. O problema se intensificou, contudo, quando um hacker chamado Matt Jakubowski demonstrou que, apesar dos esforços da fabricante para manter a boneca segura enquanto conectada à Internet (que, segundo Matt, foram mais seguros e sofisticados que a maioria dos aparelhos da Internet da Coisas) era possível hackear a boneca, e dela extrair informações como dados da rede à qual o brinquedo estava conectado, endereços MAC internos, IDs de conta, além do endereço dos proprietários e informações pessoais, sem falar que seria possível acessar a rede Wi-Fi do domicílio em questão e ouvir tudo o que a Barbie gravasse. Devido a este escândalo, a Alemanha proibiu a comercialização no país não apenas da Hello Barbie, como também de qualquer outra boneca conectada à Internet.
O objetivo deste texto não é apresentar uma resistência direta à Internet das Coisas em si, mas sim alertar as pessoas sobre os perigos que estão relacionados a esse avanço tecnológico e reforçar a importância de uma lei específica de proteção de dados pessoais no Brasil, que vá além dos enunciados genéricos sobre o tema que se pode encontrar em nossa Constituição Federal e no Marco Civil da Internet (Lei nº 12.965/2014). Para que no futuro não tenhamos que abrir mão de nossa privacidade em prol da inovação, é necessário que sejam criados mecanismos que impeçam a mercantilização e exploração abusiva dos dados que geramos na Internet, e é essencial que haja incentivos para que as fabricantes de produtos da Internet das Coisas se esforcem ao máximo para confeccionar aparelhos cada vez mais seguros, que impossibilitem ou ao menos dificultem muito a invasão desses dispositivos por terceiros não desejados.
As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).