Direito à proteção de dados e a responsabilidade civil: Qual a contribuição da Sociedade Brasileira de Computação?
Belo Horizonte, 30 de Julho de 2021
Neste mês de julho de 2021, tive o prazer de participar de dois painéis relacionados ao tema de proteção de dados pessoais e privacidade. Um dos painéis ocorreu durante o Congresso da Sociedade Brasileira de Computação (CSBC), em que fui moderadora; e o segundo foi organizado pela Associação das Empresas de Tecnologia da Informação e Comunicação e de Tecnologias Digitais (Brasscom), como apoiadora à candidatura da indicada da Sociedade Brasileira de Computação (SBC) ao Conselho da Autoridade Nacional de Proteção dos Dados (CNPD).
Os debates foram riquíssimos. O assunto é de extrema relevância e complexo. Ainda mais neste momento em que se iniciam as sanções administrativas embasadas na Lei Geral de Proteção dos Dados Pessoais e Privacidade (LGPD). Convido a todos para assistir aos vídeos dos dois debates [1][2]. Os links estão no final desta matéria.
Ainda assim, gostaria de registrar nesta matéria o papel da SBC em toda essa discussão em torno da LGPD. Antes de mais nada cabe salientar que a LGPD atua em um escopo muito mais amplo do que este escopo dos sistemas computacionais e a Internet. Porém, meu foco aqui será nos sistemas computacionais por serem da área de atuação direta da SBC.
Cabe uma perspectiva histórica da Ciência da Computação no ponto de vista da Internet como viabilizadora de vários sistemas digitais usados hoje. Da mesma forma, cabe ressaltar que a nossa responsabilidade, como cientistas, professores, engenheiros de software e de hardware, passa pela conscientização da sociedade, formação de profissionais da área, além da construção de sistemas confiáveis e seguros.
Portanto, ressalto o contexto em que estamos inseridos. Um contexto resultante da evolução tecnológica em hardware e software que culminou no surgimento e na popularização de dispositivos computacionais capazes de coletar, armazenar e processar, de forma eficiente e transparente, um grande volume de dados heterogêneos. Ressalto a extensa gama de recursos de informação e serviço online disponíveis, combinada com as comunicações móveis cada vez mais rápidas, sistemas de reconhecimento facial, redes sociais e os diferentes sensores. Isso tudo tem quebrado a fronteira entre o mundo real, os indivíduos e a Internet.
Quando a Internet foi criada, como resultado de um programa de pesquisa da Agência de Defesa Norte-Americana, em meados de 1973, as ambições eram muito discretas. Os pesquisadores queriam “apenas” transmitir uma mensagem de texto de um dispositivo computacional a outro. Na época, esses dispositivos eram de grande porte. Com certeza o tamanho deles não se compara ao tamanho dos nossos recentes sistemas computacionais que cabem nos nossos bolsos e participam cada vez mais do nosso dia-a-dia de forma transparente (a então chamada ubiquidade).
Do momento histórico em que os pesquisadores enviaram uma mensagem de um dispositivo para outro e tiveram sucesso com o recebimento de apenas uma sílaba das palavras na mensagem, desse momento até hoje, a Internet se expandiu, cresceu e se popularizou, muito por conta de uma série de comitês, técnicos e de governança, e ações, de certa forma, reguladoras. A criação desses comitês técnicos e de governança nos Estados Unidos e no mundo se assemelha ao que estamos vivenciando. Exemplos são a Internet Engineering Task Force (IETF) e o comitê técnico da Internet no IEEE nos Estados Unidos, que eu coordeno, e no Brasil o NIC.br. Portanto, agora a atenção é para o conteúdo (o dado e a informação) e não mais para a ferramenta (a Internet).
Hoje, a Internet está consolidada. Ela permite a interconexão de dispositivos eletrônicos, acessos às redes sociais e o uso de aplicativos de bate-papo, além de várias outras aplicações. Seu uso pelas pessoas deixa traços de sua vida, compartilhando dados, ideias, experiências, hábitos, opiniões e sentimentos. Estes podem facilmente ser analisados e traçados perfis de comportamento. Além destes, os dispositivos eletrônicos, por exemplo, sensores da Internet das Coisas (IoT), dispositivos vestíveis e as câmeras com reconhecimento facial se tornaram também coletores de informações pessoais, muitas vezes sem a devida atenção dos usuários.
A extração e o tratamento por Inteligência Artificial, cada vez mais avançada, de todos esses dados pessoais em grande quantidade e variedade permitem a definição de perfis de comportamento. Estes podem ser utilizados (e até vendidos) a empresas, governos, hackers, os quais poderão utilizá-los para controlar e modificar, em grande escala, o comportamento dos indivíduos como consumidores ou como cidadãos.
Diante deste contexto e, infelizmente, de forma reativa cada vez mais impulsionada pelo aumento de ataques cibernéticos, diversas iniciativas, como a que resultou na criação da Autoridade Nacional de Proteção dos Dados Pessoais (ANPD), vêm contribuindo na definição de regras, de leis e de ferramentas que permitem uma maior proteção dos dados pessoais, e a não utilização destes de forma discriminatória, ou danosa ao cidadão e à coletividade.
Os sistemas computacionais atuais são facilmente passíveis de problemas de segurança como vazamentos de informação a partir de ações simples realizadas por atacantes, como o monitoramento do tráfego da rede, mesmo em um tráfego criptografado. Assim, o uso de protocolos da Internet tradicional, os quais foram projetados para dispositivos mais robustos e com conexões confiáveis, se torna ineficiente na maioria dos cenários do contexto atual.
As características citadas somadas à diversidade e à quantidade de dispositivos resultam em um grande volume de dados, como aqueles sensíveis relacionados à saúde, requerendo um alto nível de privacidade. Exemplos disso não nos faltam. Em 2020, milhares de organizações que operam com dispositivos IoT sofreram ataques. O conceito de segurança na Internet pode ser considerado recente e, infelizmente, a segurança no projeto dos dispositivos não acompanhou o ritmo acelerado da inovação, resultando em dispositivos com várias brechas e vulnerabilidades de segurança ao mercado. A IoT é mais suscetível a ataques do que a Internet tradicional devido ao meio de comunicação sem fio, às vulnerabilidades legadas e às limitações de recursos dos dispositivos. Entretanto, as novas aplicações e serviços viabilizados pela IoT não deveriam representar um risco aos direitos de segurança e privacidade dos usuários, exigindo soluções eficientes.
As iniciativas governamentais despertaram um maior interesse da população em segurança e privacidade na era digital. Essas iniciativas também devem ter um papel educacional e de conscientização. A Lei Geral de Proteção dos Dados, o Plano Nacional da Internet das Coisas e o Marco Civil da Internet demonstram a relevância do assunto e o incentivo no desenvolvimento de soluções de segurança relacionadas ao controle e à gestão de dados privados. O Marco Civil foca ainda na neutralidade da Internet. Entretanto, apesar das iniciativas dos órgãos públicos para normatizar e reforçar a defesa pelo direito de privacidade, é evidente a necessidade de soluções técnicas e profissionais qualificados que compreendam as características específicas de todo esse ecossistema e que consigam de fato apoiar a responsabilidade civil das instituições perante aos dados e a privacidade dos usuários.
Assim, finalizo reiterando a importância para a sociedade de nos atentarmos para essas questões de privacidade e de segurança nesse contexto de hiperconexão em que nos deparamos. Não é uma tarefa fácil, requer uma coordenação de vários setores da sociedade, como é um dos papéis da ANPD. A SBC, representada por seus profissionais da área de segurança da informação e de sistemas, vem atuando fortemente em várias frentes associadas a essas questões, tais como a educação através da construção de um referencial teórico para o curso de bacharelado em cibersegurança, a pesquisa e a inovação através de proposição de sistemas seguros e que possam dar apoio a empresas na implementação da LGPD (particularmente, este é o meu caso) e a transferência tecnológica.
Com certeza, muita discussão e ação ainda são necessárias e passam por trazer a temática para mais próximo da sociedade. Se quiser continuar essa discussão ou procura por ajuda, envie uma mensagem. Meu email é: michele@dcc.ufmg.br. Mais informações, na minha página: www.dcc.ufmg.br/~michele.
Talvez, você também se interesse por esta matéria de Junho 2021: “Cientista de Dados em Cibersegurança: A Cereja do Bolo!“.
Um abraço e boas leituras,
Michele Nogueira
[1] Falta de privacidade e controle comportamental numa economia de vigilância. Seminário de Computação na Universidade. Congresso Brasileiro de Computação (CSBC). 2021.
[2] Brasscom TecFórum Live – Direito à proteção de dados e responsabilidade civil. Associação das Empresas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digitais. 2021.