A experiência legislativa internacional mostra que há um descompasso entre a velocidade de desenvolvimento das aplicações dos dispositivos de IoB nas áreas da saúde e bem-estar e os padrões regulatórios
Marco Aurélio Souza Mendes (*)
Não é incomum identificarmos alguém que já imaginou um cenário futurístico, no qual a tecnologia e o homem se unem tão intensamente a ponto de recriar nossas atuais condições naturais. Mas, na realidade, esse futuro não está distante porque é o conceito de Internet of Body (IoB), considerada uma extensão da Internet of Things (IoT).
A “Internet do Corpo”, numa tradução livre, seria o comportamento combinado entre dispositivos eletrônicos, com a possibilidade de conexão à internet, que são interligados ao corpo humano por meio de uso, ingestão ou implantação cirúrgica. Dentro desse conceito, poderíamos enquadrar desde uma smartband, ou seja, um rastreador de atividades, para monitoramento de desempenho esportivo até um marca-passo com desfibrilador de uso automatizado quando identificadas condições biológicas específicas do paciente.
Indo nessa linha, discutir cenários para condução de análises de riscos que protejam os dados tratados em operações realizadas por esses dispositivos, por exemplo, se mostra urgente e crucial, caso queiramos mais viabilidade de seu uso pela população em massa. Outro exemplo próximo de nossa realidade é em relação ao vice-presidente norte americano Dick Cheney, que, em 2013, decidiu trocar seu marcapasso por um modelo que não houvesse conexão Wi-Fi pelo temor de que seu dispositivo pudesse ser invadido por possíveis assassinos.
Pode parecer paranoia, mas em 2021 houve um caso de ataque de ransomware num dispositivo utilizado para finalidade sexual, o que atesta a possibilidade de invasão. Ataques de ransomware em dispositivos de IoT são reais e, segundo a Check Point Research, essa categoria cresceu mais de 160% no terceiro trimestre de 2020 devido à falta de protocolos de cibersegurança desde a concepção de produtos.
A experiência legislativa internacional sobre o assunto demonstra que há um descompasso entre a velocidade de desenvolvimento do poder de aplicação destes dispositivos nas áreas da saúde e bem-estar e o padrão regulatório. A Lei Geral de Proteção de Dados (LGPD) não está dissociada dessa realidade. Mesmo assim, as legislações nacionais e internacionais apresentam fundamentos necessários para o desenvolvimento de frameworks e programas de privacidade específicos com enfoque em cibersegurança.
Regulamentação genérica
A LGPD, para contextualização nacional do assunto, apresenta uma regulamentação genérica sobre o tratamento de dados pessoais sensíveis, ou seja, uma categoria de dados que seriam tratados pelos dispositivos de IoB mencionados em seu artigo 11. Nesse caso, o consentimento do titular e o respeito aos princípios diretivos do Privacy by Default e Privacy by Design serão os pontos de partida para a adequação de base legal dos protocolos de segurança.
Ou seja, a proteção dada pela LGPD é o mínimo a ser feito, mas é um começo. Para efetivamente evitar ataques será necessário investir em Sistemas de Gestão de Segurança da Informação (SGSI) específicos para a identificação de riscos e a criação de protocolos de minimização no caso de vazamento de dados e ataques.
Dois exemplos de medidas protetivas de cibersegurança para IoB são a criação de senhas de segurança desde a concepção dos aparelhos, dificultando ataques, e adotar rotinas de scan de vulnerabilidades periódicas ou contínuas, identificando possíveis brechas maliciosas.
O importante é que a simbiose entre o humano e a tecnologia tende a ter uma escalabilidade exponencial nos próximos anos. Se quisermos começar ou continuar a usufruir de seus benefícios e, ao mesmo tempo, minimizar seus múltiplos riscos, precisamos estabelecer um compliance regulatório com foco específico em dispositivos conectados biologicamente ao nosso corpo.
(*) Consultor de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação e proteção e privacidade de dados