Cidades inteligentes e proteção de dados: quais os desafios?
A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente um estudo da série “radar tecnológico” com o tema “Cidades Inteligentes”, também conhecidas como cidades conectadas ou cidades digitais, que são caracterizadas pelo uso extensivo de tecnologia e dados para melhorar a qualidade de vida, a eficiência na gestão de recursos e a sustentabilidade urbana.
O objetivo é transformar as cidades através do uso de tecnologia avançada, com dispositivos conectados e análise de dados para fornecer serviços urbanos mais eficientes e personalizados, chamadas “cidades inteligentes”, o que gera, inevitavelmente, uma preocupação sobre privacidade e proteção de dados pessoais.
A ANPD vem publicando, recorrentemente, documentos, estudos técnicos, guias orientativos, para que as empresas possam estudar e basear suas orientações de acordo com o que o órgão entende como correto. É fundamental olharmos com muita atenção a esses documentos, para que as opiniões sejam embasadas e mais seguras.
A tecnologia envolvida nas cidades inteligentes
A tecnologia de internet das coisas (IoT) consiste na conexão de objetos físicos com a rede mundial de computadores, permitindo a coleta, o processamento e o compartilhamento de dados.
As cidades inteligentes têm o objetivo de melhorar a qualidade de vida dos cidadãos, oferecendo serviços e infraestruturas mais eficientes e acessíveis. Isso inclui sistemas de transporte público aprimorados, serviços de saúde mais eficazes, segurança aprimorada, melhor acesso à educação, espaços públicos projetados de forma adequada e uma melhor gestão dos recursos naturais.
O objetivo no uso desta tecnologia é captar dados (inclusive pessoais), através de sensores espalhados pelas cidades que são transmitidos até um local de processamento, para que os gestores possam tomar decisões mais assertivas sobre os temas envolvidos.
Alguns exemplos de uma infraestrutura baseada na tecnologia de IoT são dispositivos de localização, leitores automáticos de placas de veículos, sensores de luminosidade, câmeras de vigilância, medidores de tráfego de pedestres, monitores de condições ambientais, como a qualidade do ar e nível de ruídos, detectores de tiros de arma de fogo para fins de ações policiais, dentre outros.
No entanto, o uso da IoT pelo setor público também traz desafios relacionados à proteção de dados pessoais dos indivíduos, que são aqueles que identificam ou tornam identificável uma pessoa natural.
LEIA TAMBÉM: Primeira aplicação de multa pela ANPD: o que podemos aprender?
Cidades inteligentes e os desafios para o tratamento de dados pessoais em conformidade com a LGPD
Como vimos, as cidades inteligentes precisam coletar dados em massa, inclusive informações que possam identificar uma pessoa natural, nas mais diversas esferas de um ambiente público, o que gera preocupação para os governos e a sociedade sobre questões de privacidade e proteção de dados, como:
- Vigilância e controle do ente que tem as informações em massa, que pode abranger detalhes da vida pessoal das pessoas;
- Uso comercial de dados, principalmente através de fornecedores que oferecem serviços às vezes “gratuitos”, mas que condicionam coleta de dados para enriquecimento de base, por exemplo;
- Compartilhamento de dados de forma inadequada, com fornecedores e entes do governo, envolvendo empresas públicas e privadas;
- Desvio de finalidade, isto é, coletar dados para uma finalidade específica e utilizar para fins secundários e não informados;
- Discriminação e ética, pois algoritmos podem ser usados para fins discriminatórios, o que é proibido pela legislação
- Vazamento de dados, que é um incidente de segurança, que pode afetar milhares de titulares, em virtude do volume de dados tratados
Medidas mitigadoras e práticas sugeridas para estar em conformidade:
Para garantir a conformidade com as regulamentações de proteção de dados e assegurar a privacidade dos cidadãos em ambientes urbanos conectados, são essenciais medidas mitigadoras e práticas. Entre elas:
- Definir as bases legais adequadas para cada finalidade do tratamento, que podem ser o consentimento do titular, o legítimo interesse do controlador ou do terceiro, o cumprimento de obrigação legal ou regulatória ou a execução de políticas públicas.
- Observar os princípios da finalidade, da adequação, da necessidade, da transparência e do livre acesso, garantindo que os dados sejam tratados de forma compatível com as finalidades informadas aos titulares e que estes possam exercer seus direitos de confirmação, acesso, correção, portabilidade, eliminação e revogação do consentimento.
- Estabelecer medidas de segurança e prevenção contra incidentes envolvendo dados pessoais, como vazamentos, acessos não autorizados ou uso indevido. Em caso de violação da segurança dos dados, o controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
- Formalizar e registrar as operações de compartilhamento de dados pessoais com outros órgãos ou entidades públicas ou privadas, especificando o objeto, a finalidade, a base legal, a duração e as responsabilidades dos envolvidos.
- Conciliar as normas de proteção de dados pessoais com as normas de acesso à informação pública, respeitando os limites impostos pela LGPD e pela Constituição Federal.
- Dar transparência sobre todo o tratamento de dados pessoais aos titulares, com o objetivo de informar como os dados são tratados e quais as garantias estabelecidas. Um caso a ser avaliado sobre o tem é o do metrô de São Paulo, que você pode ler aqui.
- Realizar uma gestão efetiva dos fornecedores, avaliando a conformidade de cada um deles, além de exigir um robusto programada de privacidade e proteção de dados, com as responsabilidades no tratamento de dados estabelecidas em contrato.
- Manter um programa de privacidade com monitoramento contínuo, que possa abranger todo o fluxo de tratamento de dados pessoais dos titulares, seu compartilhamento com terceiros, medidas de segurança atualizadas e de acordo com as melhores práticas, além buscar o privacy by design.
- Nomear um DPO (data protection officer) para gerenciar o programa de privacidade, garantindo uma atuação isenta e com qualidade técnica.
Conclusão
Existe um ranking mundial de cidades inteligentes, coordenado pela IESE Business School, que avalia a performance das cidades em nove dimensões-chave, como capital humano, coesão social, economia, governança, meio ambiente, mobilidade e transporte, planejamento urbano, perfil internacional e tecnologia, com 183 cidades avaliadas, sendo seis brasileiras: Belo Horizonte (161ª), Salvador (164ª), Brasília (156ª), Curitiba (148ª), Rio de Janeiro (134ª) e São Paulo (128ª).
Não só para essas cidades, mas para empresas públicas e privadas que sejam parte em tratamento de dados pessoais utilizando a tecnologia IoT, cujos benefícios vimos neste artigo, todas precisam implementar um programa de privacidade e proteção de dados para garantir a conformidade com as normas inerentes, como a LGPD, visando o respeito aos direitos dos titulares dos dados.
Caso queira saber como realizar a implementação de um programa de privacidade, leia também o nosso artigo: “Programa de Privacidade: como implementar?”.