Internet

Lei de privacidade de dados chave para segurana em IoT

tera-feira, 07 de fevereiro de 2017 , 22h21
Bruno do Amaral
BRUNO DO AMARAL | bruno@teletime.com.br

A segurana na Internet das Coisas tem diversas camadas e sentidos que devem ser abordados
no apenas com foco na atuao reguladora, mas tambm da forma mais preventiva possvel e
sem permitir a apropriao indevida dos dados gerados. Essa a viso de especialistas
manifestada durante debate no workshop sobre desafios jurdicos da IoT realizado nesta tera,
7, na FGV Direito SP. E um dos pontos fundamentais caminhar com uma lei de proteo e
privacidade de dados no Brasil.

A professora da Faculdade de Direito de Ribeiro Preto da USP, Cntia Rosa Pereira, explica que
h a necessidade de o Pas adotar uma lei de privacidades at para poder receber informaes
de cidados estrangeiros, citando a poltica europeia de proteo de dados. Na opinio dela,
no adianta ter uma legislao especfica que no seja adequada circulao entre pases.
"Para que o Brasil se insira no capitalismo transnacional, necessria ter uma proteo
eficiente: uma lei com aplicabilidade que garanta a segurana dos usurios", declara.

Um dos pontos fundamentais para isso, defende, a criao de uma entidade independente
multissetorial, seguindo passos do adotado pela Unio Europeia na Conveno de Estrasburgo.
Ela dialogaria para editar padres legislativos, ou mesmo atuando com a aplicao
(enforcement) de regulao quando fosse necessrio. " fundamental que o Brasil tenha essa
entidade independente, inclusive para atrair investidores e participar de maneira mais atuante
no mercado internacional." A coordenadora-geral de estudos e monitoramento de mercado da
Secretaria Nacional do Consumidor, Dim Michelle Rodrigues, concorda. "Tem um ano que
estou no Ministrio (da Justia) e pelo menos duas vezes por ms somos chamados para nos
manifestar em acordos internacionais para colaborar sobre qual a posio brasileira em dados
pessoais", explica. "A ausncia de lei cria dificuldade enorme para o Brasil."

O pesquisador do GPoPAI-USP e da LAVITS, alm de assessor jurdico do NICbr, Bruno Bioni, diz
que no apenas o Pas precisa da lei, mas tambm de um sistema de aplicao atuante. Essa
ao regulatria no seria feita apenas com a "mentalidade punitiva" ex-post, uma vez que
isso levaria setores a encarar a privacidade e proteo de dados como um custo, levando-os a
"testar" os limites da legislao. Ele sugere um modelo de co-regulao de baixo para cima
(bottom-up) e ex-ante com poder de estimular boas prticas. "No vamos s punir, mas
premiar comportamentos desejveis", diz. Poderia ser colocado como estmulo tambm para o
financiamento de novos entrantes.

A posio do pesquisador em telecomunicaes do Instituto de Defesa do Consumidor (Idec),

Rafael Zanatta, que alguns elementos fundamentais para uma lei de proteo de dados,
como a princpios de finalidade legtima e princpio de necessidade, defendidos pela Comisso
Federal de Comrcio dos EUA (FTC), esto presentes no PL 5.276/2016. "Esse projeto de Lei o
mais adequado e capaz de oferecer estrutura jurdica minimamente qualificada", diz. Ele
tambm defende a adoo de padres de segurana open source, para ter maior acesso aos
protocolos utilizados, e uma composio multissetorial de uma autoridade independente. O
projeto de lei ainda aguarda parecer nas comisses de Cincia, Tecnologia, Comunicao e
Informtica (CCTCI); de Constituio e Justia e de Cidadania (CCJC); e de Trabalho, de
Administrao e Servio Pblico (CTASP).

Big brother

No apenas a segurana dos dados em si, mas tambm a apropriao das informaes
coletadas uma preocupao. "Se um dado existe, se ele foi coletado e se guardado pela
empresa, autoridades pblica vo cobiar", declara a pesquisadora do InternetLab, Jacqueline
de Souza Abreu. Ela cita o caso da regulamentao do Uber pela prefeitura de So Paulo, que
condicionou a liberao do aplicativo ao acesso s informaes das viagens. Com isso, toca na
ferida de que a IoT pode viabilizar a criao de "um imenso aparato de vigilncia que poder
ser usado pelo estado", com potenciais ainda mais danosos do que as tentativas judiciais de
obter quebra de criptografia fim a fim em aplicativos de mensagens. "A gente est ainda
entrando na idade de ouro da vigilncia", alerta.

Abreu explica que preciso pensar em direitos fundamentais para que isso no ocorra no
Brasil, at porque afeta tambm empresas, trazendo insegurana jurdica. "Facilita abusos por
parte de autoridades e isso importante porque no queremos juiz mandando bloquear a
Internet das Coisas, e as empresas no querem que seus executivos sejam presos." As
propostas que a pesquisadora sugere so de uniformizar a legislao no acesso das
autoridades pblicas aos dados, incentivar o princpio de interpretao da legislao existente
e antecipar problemas de interoperabilidade jurdica com empresas internacionais.

Ciberguerra

Outro vis da segurana de IoT, tambm urgente, o da segurana fsica dos dispositivos e de
sua integridade. O representante da Frente Parlamentar Cidades Inteligentes e Humanas e
vice-presidente de cibersecurity da ISCBA, Johnny Doin, lembra que recentes ataques
utilizaram brechas em roteadores e cmeras de segurana para derrubar boa parte da Internet
nos Estados Unidos em ataque de negao de servio (DDoS). E afirma tambm que redes
mveis como a GSM em 3G e 4G esto "entre as mais frgeis do planeta, levando apenas 100
ms para serem quebradas". Ele sugere o uso de blockchains (tipo de registro de transaes
usado para bitcoins) na identificao e autenticao de dados e dispositivos, alm de um
dilogo com a indstria exigindo no apenas a segurana em IoT, mas a proteo dessa rede.

O coordenador do Projeto Privacidade Brasil, Danilo Doneda, alerta para perigos ainda
maiores, como uso de redes IoT para ciberataques de grande porte em servios de
fornecimento de energia, por exemplo. Mas chama ateno para que uma regulao que trate
do assunto seja feita de forma "pragmtica e ausente de paixes", at para conscientizar
empresas e usurios. "O mercado est preocupado em fornecer sensores, devices baratos
como lmpadas que podem ser controladas remotamente, mas que podem (ser violadas para)
atacar uma usina hidreltrica. uma falha de mercado porque no h incentivo para o
consumidor se preocupar mais", declara

Os crimes de:

Ameaa (art. 147 do Cdigo Penal);

 Calnia (art. 138 do Cdigo Penal);
Difamao (art. 139 do Cdigo Penal);
Injria (art. 140 do Cdigo Penal);
Falsa Identidade (art.307 do Cdigo Penal);

dependem, por determinao legal, de queixa realizada pela prpria vtima. Estes crimes,
mesmo cometidos pela Internet, devem ser denunciados pela vtima na delegacia mais
prxima da residncia dela ou em uma delegacia especializada em crimes cibernticos.

Apesar de no receber denncias destes crimes, a SaferNet sugere as seguintes orientaes

para ajudar as vtimas nestes casos