Um RGPD para IoT

Vinte e cinco de maio passou e muitas empresas, já para não falar de organismos públicos, estão ainda longe do cumprimento de todas as condições do novo Regulamento Geral de Proteção de Dados.

A complexidade da tarefa tem levado a que até empresas com grandes recursos, financeiros e tecnológicos, tenham tido que enfrentar desafios significativos para adaptarem os seus sistemas e práticas aos requisitos do Regulamento. Algumas aproveitaram para desenhar e aplicar, finalmente, arquiteturas de gestão de dados empresariais, um conceito já com algumas décadas, mas cuja adoção tem sido sucessivamente protelada, por dificuldades entre as quais avultam as barreiras internas.

Mas, a verdade, é que – apesar de todo o investimento feito no RGPD -- estamos apenas a arranhar a superfície do problema da privacidade. Todos os dias temos sinais de que uma tempestade muito maior pode estar no horizonte. Os dispositivos que fazem parte da chamada (impropriamente) Internet das Coisas (IoT) podem colocar problemas que fazem os atuais parecerem menores, simples de resolver, até. Os sistemas de informação existentes nas empresas estão, em geral, ligados em redes, cujos protocolos são de conhecimento universal, com sistemas operativos que recebem atualizações regulares e estão, normalmente, acessíveis às equipas de IT.

Mas os dispositivos de IoT, que não é, de facto, uma internet, porque raramente existe interoperabilidade distribuída, ao contrário do que acontece na Internet e, muito menos, as comunicações entre eles se baseiam num protocolo comum, antes numa Babel de normas incompatíveis, estão condenados a não ser atualizados, geridos, com segurança mantida. O ecossistema Android serve como paradigma do que poderá ser o futuro dos dispositivos IoT.

A Google lança atualizações mensais de segurança para o Android, mas a maioria dos fabricantes de “smartphones” com Android nem dois anos costuma assegurar de atualizações regulares e atempadas. O resultado é que, por esta altura, a quase generalidade dos “smartphones”, até topos de gama, disponíveis no mercado no início de 2016, estão já vulneráveis às significativas falhas de segurança entretanto identificadas – e isto num ecossistema relativamente controlado, com poucos fornecedores e hardware bastante uniformizado.

Se “smartphones” que eram vendidos há dois anos a preços que rondariam os 800 euros estão impossibilitados de receber atualizações de segurança, o que acontecerá a dispositivos de IoT que custam agora uma fração desse valor? Qual a prioridade que os fabricantes darão à segurança continuada, qual o compromisso com a privacidade dos dados?

Confiaremos em dispositivos que recolhem sinais vitais do nosso corpo, que vigiam as nossas casas, que vigiam as nossas ruas, que controlam os nossos carros, e que estarão, em dois a três anos, completamente vulneráveis em termos de segurança e, portanto, a expor os dados que recebem e armazenam? Quem assumirá a responsabilidade quando os – inevitáveis – problemas surgirem? Com o número de dispositivos nestas circunstâncias com previsões de crescimento muito superiores às dos “smartphones”, é altura para dizer: “caveat emptor” – o comprador que se acautele. A regulamentação anda mais lenta que o mercado, mas chegará – um RGPD v2 aparecerá, um dia, com os riscos da IoT em mente. Com a memória ainda fresca dos desafios do RGPD v1, é uma boa altura para colocar as perguntas certas antes avançarmos por implementações destemidas de soluções com IoT.