Dados pessoais à solta: o preço oculto dos ‘smartgadgets’ modernos
A privacidade é geralmente considerada um direito fundamental e os cidadãos têm frequentemente grandes expectativas quanto à proteção das suas informações pessoais. As pessoas protestam quando receiam que os governos estejam a aumentar o seu envolvimento na vida pessoal de cada um. No entanto, não consideram a quantidade de dados pessoais e confidenciais que partilham com qualquer aplicação que instalem no seu smartphone ou com dispositivos inteligentes nas suas casas.
As grandes empresas de tecnologia e os vendedores de dispositivos pessoais, como wearables, smartphones e assistentes de voz, recolhem dados pessoais dos seus utilizadores. Estes dispositivos recolhem dados sobre a saúde física (como o ritmo cardíaco, os padrões de sono e a atividade física), o bem-estar mental (através da análise do discurso, das expressões faciais e da atividade online) e as preferências pessoais, incluindo o que procuramos, compramos ou ouvimos. Os assistentes de voz aprendem continuamente com as interações dos utilizadores, construindo perfis que podem incluir detalhes sobre rotinas, relações e até humor, deduzidos pelo tom de voz e pela linguagem.
Estes dados vão para além do que qualquer médico poderia saber, compilando uma “impressão digital” da saúde e do comportamento pessoal. Por exemplo, os wearables registam o ritmo cardíaco, os níveis de stress e os passos dados, criando um registo abrangente do estado físico e mental do utilizador. As plataformas online utilizam algoritmos sofisticados para compreender os interesses e os comportamentos dos utilizadores melhor do que muitos amigos ou familiares, identificando tudo, desde hábitos de compra a opiniões políticas, explica a Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança.
Estas empresas atingem essa profundidade através da agregação de dados entre dispositivos, aplicações e ambientes digitais. As informações geradas não se destinam apenas à prestação de serviços, mas são também utilizadas em publicidade direcionada e podem ser partilhadas com terceiros ou entidades governamentais em determinadas condições, por vezes sem o conhecimento explícito dos utilizadores.
As aplicações têm de pedir consentimento e permissões para pedir aos sensores dos dispositivos e, normalmente, os utilizadores dão facilmente essas permissões. Embora estes dados tenham um valor imenso para melhorar os produtos e personalizar os serviços, suscitam preocupações significativas em matéria de privacidade, uma vez que funcionam em grande parte sem supervisão, permitindo que as empresas tecnológicas tenham uma visão sem precedentes dos pormenores íntimos de milhares de milhões de vidas.
Em 2018, ficámos a conhecer o escândalo do Facebook e da Cambridge Analytica. Resumindo, uma empresa de consultoria recolheu dados pessoais de milhões de utilizadores sem o seu consentimento. Os dados foram utilizados para criar perfis psicológicos, que foram depois aproveitados para apresentar anúncios políticos direcionados. A principal preocupação era a monetização dos dados, a definição de perfis de anúncios e as campanhas direcionadas.
Desde então, o debate tem vindo a intensificar-se e, atualmente, gira em torno da segurança interna, das campanhas de influência e da espionagem por parte de governos estrangeiros.
O debate público atual envolve as práticas de recolha de dados por parte de empresas populares de redes sociais e tecnologia. Investigações revelaram que essas aplicações recolhem uma grande quantidade de dados dos utilizadores, incluindo localização, contatos e dados comportamentais, o que suscita preocupações quanto à segurança dos dados e ao potencial acesso por parte de governos estrangeiros. Embora estas empresas neguem qualquer acesso ilegal, os governos impuseram medidas de supervisão rigorosas para garantir que as informações sensíveis dos utilizadores não são comprometidas. Esta situação desencadeou uma ação a nível mundial, uma vez que os países dão prioridade à segurança dos dados dos seus cidadãos.
Os fabricantes de smartphones e de dispositivos IoT de várias regiões também estão a ser alvo de escrutínio. Foram manifestadas preocupações quanto ao risco de governos estrangeiros acederem aos dados dos utilizadores através de backdoors ou de outros mecanismos de controlo. Esta questão é particularmente proeminente em países com diferentes abordagens à privacidade dos dados, especialmente em regimes autoritários que dão prioridade ao controlo estatal sobre a privacidade individual. Estas práticas levaram a preocupações acrescidas sobre a potencial utilização indevida de dispositivos para espionagem ou vigilância.
As leis sobre privacidade nos países ocidentais exemplificam este compromisso com a privacidade de dados, dando aos indivíduos controlo sobre os seus dados e exigindo transparência às empresas sobre as práticas de recolha e partilha de dados. Estes enquadramentos são influenciados por valores culturais que dão prioridade às liberdades individuais e a uma aversão profunda à vigilância, especialmente no domínio privado da casa de cada um.
Esta divergência não só molda as normas de privacidade locais, como também tem impacto nas relações internacionais e no mercado global da IdC. As democracias estão a implementar cada vez mais políticas para restringir os dispositivos fabricados no estrangeiro suspeitos de serem vulneráveis a interferências governamentais, reforçando a disputa geopolítica mais vasta entre modelos de governação de dados abertos e fechados.
Como estes casos demonstram, a ameaça não é hipotética. Os governos de todo o mundo estão a debater-se ativamente com as implicações em termos de segurança e privacidade dos dispositivos IoT, em especial dos fornecedores com potenciais ligações à vigilância estatal. Em resposta, estão em curso várias ações regulamentares e jurídicas:
Proibições e restrições a fornecedores de alto risco:
Alguns governos tomaram medidas, proibindo o acesso de dispositivos específicos de fabrico estrangeiro a infraestruturas fundamentais, especialmente em edifícios governamentais e outras áreas delicadas. Esta abordagem, embora controversa, é vista como um passo necessário para reduzir o risco de espionagem.
Leis de proteção de dados e privacidade:
O RGPD europeu e leis semelhantes em todo o mundo foram concebidos para dar aos consumidores mais controlo sobre os seus dados. Estes regulamentos exigem que as empresas forneçam opções de consentimento claras, divulguem a utilização de dados e permitam aos utilizadores gerir os dados recolhidos pelos seus dispositivos. No entanto, a aplicação destas leis a empresas estrangeiras continua a ser um desafio. Por isso, na Europa, a Comissão Europeia aprovou no mês passado a nova lei alargada sobre ciber-resiliência (CRA), que exige que os fabricantes cumpram os requisitos de privacidade e segurança em qualquer dispositivo conectado, se os quiserem vender no mercado europeu.
Normas de segurança dos dispositivos:
Vários países introduziram leis que impõem normas mínimas de segurança para os dispositivos utilizados pelas agências governamentais. Estas leis incentivam medidas de segurança básicas, como a proibição de palavras-passe predefinidas, reduzindo assim o risco de acesso não autorizado.
Os incidentes de violação da privacidade realçam a necessidade urgente de regulamentos mais rigorosos e de uma maior consciencialização dos consumidores para as potenciais ameaças à segurança. Esta história não é apenas sobre uma família ou uma única violação; é uma narrativa mais alargada de como os dispositivos “inteligentes” nas nossas casas podem, nas mãos erradas, comprometer a nossa privacidade e segurança.
Enquanto os governos, as entidades reguladoras e os consumidores começam a navegar nesta nova realidade, a colaboração e a vigilância serão fundamentais para preservar a integridade dos nossos espaços privados. Para ajudar a proteger este segmento, a Check Point Software apresentou o agente Quantum IoT Protect Nano. O agente Nano é uma solução para os fabricantes de dispositivos IoT, para os ajudar a proteger os seus dispositivos e a cumprir as normas de privacidade e segurança.