Um futuro não tão distante acerca da LGPD para IoB

Não é incomum identificarmos alguém que já imaginou um cenário futurístico no qual a tecnologia e o homem se unem tão intensamente a ponto de recriar nossas atuais condições naturais. Mas, na realidade, esse futuro não está distante porque é o conceito de Internet of Body (IoB), considerado uma extensão da Internet of Things (IoT).

A "internet do corpo", numa tradução livre, seria o comportamento combinado entre dispositivos eletrônicos, com a possibilidade de conexão à internet, que são conectados ao corpo humano por meio de uso, ingestão ou implantação cirúrgica. Dentro desse conceito, poderíamos enquadrar desde uma smartband, ou seja, um rastreador de atividades, para monitoramento de desempenho esportivo até um marca-passo com desfibrilador de uso automatizado quando identificado condições biológicas específicas do paciente.

Indo nessa linha, discutir cenários para condução de análises de riscos que protejam os dados tratados em operações realizadas por esses dispositivos, por exemplo, se mostra urgente e crucial, caso queiramos mais viabilidade de seu uso pela população em massa. Outro exemplo próximo de nossa realidade é em relação ao vice-presidente norte americano Dick Cheney, que, em 2013, decidiu trocar seu marcapasso por um modelo que não houvesse conexão Wi-Fi pelo temor de que seu dispositivo pudesse ser invadido por possíveis assassinos.

Pode parecer paranoia, mas em 2021 houve um caso de ataque de ransomware num dispositivo utilizado para finalidade sexual, o que atesta a possibilidade de invasão. Ataques de ransomware em dispositivos de IoT são reais e, segundo a Check Point Research, essa categoria cresceu mais de 160% no terceiro trimestre de 2020 devido à falta de protocolos de cibersegurança desde a concepção de produtos.

A experiência legislativa internacional sobre o assunto demonstra que há um descompasso entre a velocidade de desenvolvimento do poder de aplicação destes dispositivos nas áreas da saúde e bem-estar e o padrão regulatório. A Lei Geral de Proteção de Dados (LGPD) não está dissociada dessa realidade. Mesmo assim, as legislações nacionais e internacionais apresentam fundamentos necessários para o desenvolvimento de frameworks e programas de privacidade específicos com enfoque em cibersegurança.

A LGPD, para contextualização nacional do assunto, apresenta uma regulamentação genérica sobre o tratamento de dados pessoais sensíveis, ou seja, uma categoria de dados que seriam tratados pelos dispositivos de IoB mencionados em seu artigo 11. Nesse caso, o consentimento do titular e o respeito aos princípios diretivos do privacy by default e privacy by design serão os pontos de partida para a adequação de base legal dos protocolos de segurança.

Ou seja, a proteção dada pela LGPD é o mínimo a ser feito, mas é um começo. Para efetivamente evitar ataques será necessário investir em Sistemas de Gestão de Segurança da Informação (SGSI) específicos para a identificação de riscos e a criação de protocolos de minimização no caso de vazamento de dados e ataques.

Dois exemplos de medidas protetivas de cibersegurança para IoB são a criação de senhas de segurança desde a concepção dos aparelhos, dificultando ataques, e adotar rotinas de scan de vulnerabilidades periódicas ou contínuas, identificando possíveis brechas maliciosas.

O importante é que a simbiose entre o humano e a tecnologia tende a ter uma escalabilidade exponencial nos próximos anos. Se quisermos começar ou continuar a usufruir de seus benefícios e, ao mesmo tempo, minimizar seus múltiplos riscos, precisamos estabelecer um compliance regulatório com foco específico em dispositivos conectados biologicamente ao nosso corpo.

*Marco Aurélio Souza Mendes é consultor de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação e proteção e privacidade de dados

Sobre a ICTS Protiviti

A ICTS Protiviti é uma empresa brasileira que combina a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS (canal de denúncias, diligência de terceiros, background e monitoramento de funcionários, e treinamentos on-line), com o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti.

A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico.

Reconhecida como Empresa Pró-Ética desde 2015, no Brasil conta com cerca de 400 profissionais em 5 escritórios localizados em São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem a mais de 600 empresas de diferentes portes e segmentos. No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes. Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®️.