CIÊNCIA & TECNOLOGIA
Um futuro não tão distante: a LGPD e a Internet of Body
Desenvolvimento e massificação da ‘internet do corpo’ exige um arcabouço legal que proteja cidadãos e oriente desenvolvimento de aplicações
Já se imaginou um cenário futurístico no qual a tecnologia e o homem se unem tão intensamente a ponto de recriar nossas condições naturais. Mas, na realidade, esse futuro não está distante graças ao conceito de Internet of Body (IoB), considerado uma extensão da Internet of Things (IoT).
A “internet do corpo”, numa tradução livre, seria o comportamento combinado entre dispositivos eletrônicos, com a possibilidade de conexão à internet, e o corpo humano por meio de uso, ingestão ou implantação cirúrgica. Dentro desse conceito, poderíamos enquadrar desde uma smartband, ou seja, um rastreador de atividades para monitoramento de desempenho esportivo, até um marca-passo com desfibrilador de uso automatizado.
Discutir cenários para condução de análises de riscos que protejam os dados tratados em operações realizadas por esses dispositivos se mostra urgente e crucial, caso queiramos mais viabilidade de uso em massa. Um exemplo próximo de nossa realidade é o do vice-presidente norte-americano Dick Cheney, que em 2013 decidiu trocar seu marcapasso por um modelo sem conexão Wi-Fi pelo temor de que o dispositivo pudesse ser invadido por assassinos.
Pode parecer paranoia, mas em 2021 houve um caso de ataque de ransomware num dispositivo utilizado para finalidade sexual, o que atesta a possibilidade de invasão. Ataques de ransomware em dispositivos de IoT são reais e, segundo a Check Point Research, essa categoria cresceu mais de 160% no terceiro trimestre de 2020 devido à falta de protocolos de cibersegurança desde a concepção de produtos.
Legislações nacional e internacional
A experiência legislativa internacional sobre o assunto demonstra que há um descompasso entre a velocidade de desenvolvimento destes dispositivos nas áreas da saúde e bem-estar e o padrão regulatório. A Lei Geral de Proteção de Dados (LGPD) não está dissociada dessa realidade. Mesmo assim, as legislações nacionais e internacionais apresentam fundamentos necessários para o desenvolvimento de frameworks e programas de privacidade específicos com enfoque em cibersegurança.
A LGPD, para contextualização nacional do assunto, apresenta uma regulamentação genérica sobre o tratamento de dados pessoais sensíveis, ou seja, uma categoria de dados que seriam tratados pelos dispositivos de IoB mencionados em seu artigo 11. Nesse caso, o consentimento do titular e o respeito aos princípios diretivos do privacy by default e privacy by design serão os pontos de partida para a adequação de base legal dos protocolos de segurança.
Ou seja, a proteção dada pela LGPD é o mínimo a ser feito, mas é um começo. Para efetivamente evitar ataques será necessário investir em Sistemas de Gestão de Segurança da Informação (SGSI) específicos para a identificação de riscos e a criação de protocolos de minimização no caso de vazamento de dados e ataques.
Dois exemplos de medidas protetivas de cibersegurança para IoB são a criação de senhas de segurança desde a concepção dos aparelhos, dificultando ataques, e adotar rotinas de scan de vulnerabilidades periódicas ou contínuas, identificando possíveis brechas maliciosas.
O importante é que a simbiose entre o humano e a tecnologia tende a ter uma escalabilidade exponencial nos próximos anos. Se quisermos começar ou continuar a usufruir de seus benefícios e, ao mesmo tempo, minimizar seus múltiplos riscos, precisamos estabelecer um compliance regulatório com foco específico em dispositivos conectados biologicamente ao nosso corpo.