Internet of Things e LGPD: Como fica a proteção de dados pessoais em meio às novas tecnologias?

15 de fevereiro de 2022

Internet of Things e LGPD: Como fica a proteção de dados pessoais em meio às novas tecnologias?

Escrito por , and

O constante avanço das tecnologias a partir da criação da internet e demais redes inter-relacionadas é responsável por aumentar, progressivamente, a acessibilidade dos usuários e, consequentemente, atrair diversos tipos de consumidores para os mais variados serviços e recursos. Nesse sentido, um dos conceitos mais interessantes emergido desta crescente é o da internet das coisas (IoTs). De acordo com Morais:

é baseado na ideia de fusão do mundo real com o mundo digital, fazendo com que os indivíduos estejam em constante comunicação e interação com outras pessoas e objetos. A IoT possui funções de reconhecimento inteligente, localização, rastreamento e gerenciamento dos diversos dispositivos, trocando informações a todo o momento.

É inegável que as IoTs chegaram para revolucionar a forma dos negócios, relações, consumo, pesquisas, análises, dentre outros na sociedade. Diante deste contexto, observou Zach Supalla (2018, p.8), Fundador e Diretor Executivo da empresa Particle:

A Internet das Coisas inclui dispositivos que normalmente você não pensaria em conectar à Internet, incluindo categorias como: wearables ou dispositivos vestíveis (Fitbit, relógios inteligentes), casa inteligente (luminárias, eletrodomésticos e brinquedos conectados), a Internet industrial (sistemas de feedback em turbinas eólicas), cidades inteligentes (parquímetros e semáforos conectados), fazendas inteligentes (sistemas de irrigação conectados) e muito mais.”

Tais exemplos podem ser evidenciados nos mais diferentes cenários, desde as casas inteligentes, cujos recursos de luz, cortinas e termostato são responsivos a comandos de voz e demais programações específicas de horário e temperatura, até mesmo no transporte conectado, que se utiliza de veículos integrados via conexão de internet e interação com aplicativos e sistemas que dispensam motoristas e apostam em rotas previamente elaboradas.

Outro exemplo da presença da nova tecnologia são as publicidades dirigidas, capazes de identificar padrões e comportamentos em possíveis consumidores e direcionar propagandas específicas com as IoT’s, sem a necessidade de intervenção humana, conforme exemplifica Comer (2016, p. 500):

um uso interessante de sistemas embarcados envolve localizações típicas de varejo. Por exemplo, alguns shoppings possuem monitores com sistemas embarcados bastante sofisticados. Quando um possível comprador navega pelo monitor, o sistema utiliza uma câmera e um software associado para capturar e analisar a imagem. O software identifica cada face, analisa e estima seus traços característicos, tal como idade e sexo. O software então seleciona e apresenta propagandas específicas voltadas para aquele perfil de consumidor.

Atento à nova era tecnológica, o legislador brasileiro se preocupou em regulamentar a Internet das Coisas, bem como defini-la, no Decreto nº 9.854, de 25 de junho de 2019 , ao instituir o Plano Nacional de Internet das Coisas e dispor sobre a Câmara de Gestão e Acompanhamento do Desenvolvimento de Sistemas de Comunicação Máquina a Máquina e Internet das Coisas. Em seu art. 2º, inciso I, define IoT da seguinte maneira:

Art. 2º Para fins do disposto neste Decreto, considera-se:

I – Internet das Coisas – IoT – a infraestrutura que integra a prestação de serviços de valor adicionado com capacidades de conexão física ou virtual de coisas com dispositivos baseados em tecnologias da informação e comunicação existentes e nas suas evoluções, com interoperabilidade;

Ademais, nos seguintes artigos do Decreto é possível depreender que este se destina a regulamentar o Plano Nacional de Internet das Coisas, dando enfoque ao desenvolvimento de pesquisas para introduzir a nova tecnologia ao mercado brasileiro e garantir a inovação e o desenvolvimento em todas as esferas de relações.

Contudo, o Decreto não prevê direitos e deveres dos usuários no tocante à transmissão, utilização, tratamento, armazenamento ou qualquer operação que envolva dados pessoais. Embora as IoT’s tenham um futuro muito promissor no Brasil e no mundo, é necessário cuidados especiais. Sabe-se que toda nova tecnologia, a depender de seu caráter inovador, pode trazer significativas mudanças para as relações humanas em todas as esferas e, nesse cenário, alguns direitos podem ser violados.

Algumas características da Internet das Coisas como “reconhecimento inteligente”, “interação entre pessoas e objetos”, “rastreamento”, “geolocalização”, “comandos de voz”, demonstram que o funcionamento desta nova tecnologia, muitas vezes, é intrínseco à utilização de dados pessoais. Vejamos o exemplo citado acima, do shopping que utiliza a captura e análise facial para realizar um padrão de consumo e efetuar um marketing dirigido a um público específico de pessoas. Apenas neste caso, foram trazidos os seguintes dados de um titular: imagem facial, sexo, idade e padrão de consumo.

Com o advento da Lei Geral de Proteção de Dados, o titular de dados pessoais passa a ter maiores proteções com relação às inúmeras situações que envolvam o uso, tratamento e coleta de dados, incluindo as chamadas “novas operações” envolvendo Internet das Coisas. A importância da garantia destes direitos é tamanha que foi aprovada a Emenda Constitucional 115/2022, que incluiu a proteção de dados no rol de direitos e garantias fundamentais da Constituição Federal.

Neste cenário, cabe analisar como a LGPD se comunica com as IoT’s no contexto atual.

Nos casos de shopping centres, citado anteriormente, a utilização de sistemas embarcados para realizar a coleta de informações de usuários e posterior apresentação de padrão de consumo, é considerado como “definição de perfil” ou “profiling” e, de acordo com o art. 12, §2º da LGPD, os dados coletados para esta definição, também são considerados dados pessoais e, portanto, possuem direitos assegurados pela legislação e devem ser garantidos pelo seu controlador e/ou operador que estiver sob sua responsabilidade, conforme in verbis:

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Ainda, a LGPD em seu art. 20, assegura ao titular do dado “solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais”. Ou seja, esta automatização é conferida por novas tecnologias que foram contempladas pela legislação atual, e, acima de tudo, é o titular que deve exercer a autodeterminação informativa frente a essas inovações.

Dentro das características da Internet das Coisas, é importante salientar a sensibilidade particular relacionada ao reconhecimento por voz de alguns gadgets e o seu conflito com alguns aspectos da LGPD. Isto pois os sistemas de reconhecimento por voz funcionam através de comandos de ativação do usuário, como é o caso da Alexa, assistente virtual criada pela Amazon, que é ativada e passa a responder a comandos quando alguém utiliza a palavra “Alexa”.

Ocorre que esse tipo de tecnologia ainda apresenta algumas fragilidades: o Washington Post, em uma investigação em 2019, descobriu que a Amazon mantinha uma cópia de tudo o que era registrado pela Alexa sempre que a assistente considerasse ter escutado seu nome, ainda que sem a ciência dos usuários.

O tratamento de informações coletadas fora do escopo da finalidade ora garantida ao titular, assegurada como princípio pelo inciso I do artigo 6°, da Lei Geral de Proteção de Dados, representa flagrante conflito entre a Lei e o recurso da Amazon. Salienta-se que este é apenas um dos diversos riscos e colisões que a Internet das Coisas pode vir a apresentar.

Em situação análoga envolvendo o dispositivo Alexa, o estado de New Hampshire, nos Estados Unidos, chegou a intimar a Amazon para que disponibilizasse ao juízo as gravações registradas pela assistente virtual, em razão da ocorrência de um “first-degree murder”, compatível com o homicídio qualificado, enquanto na presença do altofalante. A investigação concluiu que o equipamento poderia ter registrado sons anteriores ao ataque de Timothy Verril que levou duas mulheres a óbito e, portanto, seria de grande valia para a investigação .

Diante disso, ao analisar toda a evolução tecnológica e legislativa, deflagra-se que essas nem sempre ocorrem de forma simultânea e proporcional, por isso será cada vez mais frequente a intervenção legal na seara digital. Justamente por isso, é de extrema importância que não só os desenvolvedores estejam atentos aos limites de suas criações, mas também que os usuários tenham conhecimento de seus direitos enquanto titulares de dados e enquanto cidadãos contemplados pelas garantias a direitos fundamentais.