Utilização de Dados Coletados em Serviços IoT e Questões Legais Associadas
Nos últimos anos, os dispositivos IoT, como os eletrodomésticos inteligentes, têm sido cada vez mais integrados nas nossas casas. Embora sejam extremamente convenientes, o facto de estarem conectados à Internet expõe-os a riscos de violação de dados. Ao iniciar um negócio de IoT, é crucial não só garantir a segurança dos aparelhos enquanto eletrodomésticos, mas também gerir a segurança na rede para resistir a ataques cibernéticos.
Olhando para o cenário nacional, a questão das fugas de informações pessoais já é grave. A Tokyo Shoko Research reportou que, em 2021 (Reiwa 3), ocorreu um número recorde de incidentes de vazamento e perda de informações pessoais em empresas cotadas na bolsa, com 137 casos afetando cerca de 5,74 milhões de pessoas.
Neste artigo, explicaremos as regulamentações legais que deve conhecer para a utilização segura dos dados recolhidos pelos serviços de IoT.
Regulação Legal no Negócio de IoT
IoT é a sigla para “Internet of Things”, que se traduz diretamente como “Internet das Coisas”. Refere-se a sistemas e serviços que conectam os objetos que usamos no dia a dia à internet, permitindo o controlo remoto, a identificação automática e funções de controlo automático, tornando assim a nossa vida mais conveniente.
No que diz respeito ao hardware dos eletrodomésticos, existem regulamentos rigorosos devido ao potencial impacto direto na saúde dos utilizadores.
Quanto ao software, leis como a Lei de Ondas de Rádio Japonesa e a Lei de Negócios de Telecomunicações Japonesa exigem o registo e a notificação para a condução de negócios, regulando as redes de comunicação.
Para uma explicação detalhada sobre a regulamentação legal do hardware e software em IoT, por favor, consulte também o seguinte artigo.
Artigo relacionado: Explicação das regulações legais a ter em conta no hardware e software do negócio de IoT[ja]
No negócio de IoT, devido à natureza de conectar dispositivos tradicionais à internet e utilizar as informações recolhidas, não só as regulamentações legais do hardware e software são importantes, mas também como processar as informações acumuladas se torna uma questão crucial.
Questões Legais Relacionadas com a Utilização de Dados Obtidos através do IoT
Os dispositivos IoT têm o potencial de acumular e utilizar dados da vida dos utilizadores de forma não intencional.
Mesmo que os utilizadores tenham consentido na utilização dos seus dados pessoais no momento do registo, a natureza do IoT implica a recolha contínua de informações sobre as suas atividades cada vez que o dispositivo é utilizado, o que pode levar a problemas como:
- Proteção de dados pessoais
- Proteção da privacidade
- Resposta a ataques cibernéticos
Aqui, explicaremos os diversos problemas legais inerentes a dispositivos IoT.
IoT e Informação Pessoal
Nem todos os dados acumulados por dispositivos IoT são protegidos como informação pessoal por si só. Quando o registo do utilizador e os dados de informação de vida estão interligados de forma a identificar uma pessoa, tornam-se objeto da Lei de Proteção de Informação Pessoal Japonesa.
Assim, os operadores que fornecem dados de vida e informações de utilizador interligados em serviços de casa inteligente, como estipulado no Artigo 2, Parágrafo 5 da Lei de Proteção de Informação Pessoal Japonesa[ja], têm as seguintes obrigações:
<Obrigações dos Artigos 19 a 26 da Lei de Proteção de Informação Pessoal>
- Garantir a precisão dos dados e a obrigação de eliminação
- Obrigação de medidas de gestão de segurança
- Obrigação de supervisão dos empregados
- Obrigação de supervisão dos subcontratados
- Restrições à disponibilização a terceiros e obrigação de manutenção de registos
Ao lidar com informação pessoal, é essencial especificar o propósito da utilização e notificar ou publicar esse propósito ao titular dos dados. Além disso, quando não for mais necessário utilizar a informação pessoal, ela deve ser processada prontamente. Também é necessário tomar medidas cuidadosas contra vazamentos de informação e garantir que os empregados e subcontratados cumpram rigorosamente estas medidas.
Em princípio, a disponibilização de informação pessoal a terceiros é restrita. No entanto, por vezes, a disponibilização a terceiros é necessária para melhorar o serviço. Nesses casos, é preciso aplicar um processamento anónimo suficiente para que a informação pessoal original não possa ser restaurada.
Além disso, a revisão da Lei de Proteção de Informação Pessoal Japonesa, implementada em abril de 2022 (Reiwa 4), estabeleceu novas regulamentações para a disponibilização a terceiros por parte de operadores estrangeiros, além de reforçar a proteção dos direitos dos titulares e a responsabilidade dos operadores.
Esta revisão enfatizou os seguintes cinco pontos de vista pela Comissão de Proteção de Informação Pessoal:
- Proteção dos direitos e interesses dos indivíduos
- Equilíbrio entre proteção e utilização
- Harmonização com as tendências internacionais
- Resposta à mudança de riscos por operadores estrangeiros
- Adaptação à era da IA e Big Data
Referência: Pontos de Verificação para a Conformidade com a Lei Revisada de Proteção de Informação Pessoal[ja][ja]
IoT e o Direito à Privacidade
Mesmo que os dados de vida recolhidos não sejam considerados informações pessoais, é necessário tratar com cuidado as informações sobre o estilo de vida, pois estas podem levar à compreensão das ações do indivíduo. Por exemplo, informações sobre os horários de uso de eletricidade e gás podem, se divulgadas, ser mal utilizadas em crimes como assaltos a residências desocupadas.
Por outro lado, para melhorar a qualidade dos serviços de smart home, é necessário compreender e utilizar as informações sobre as atividades do indivíduo. Para utilizar os dados pessoais na melhoria dos serviços, protegendo simultaneamente a privacidade, é exigido um tratamento cuidadoso, considerando as práticas de proteção de dados pessoais, mesmo quando as informações recolhidas não se enquadrem diretamente na definição de dados pessoais.
IoT e Cibersegurança
O negócio de IoT baseia-se na recolha, gestão e utilização de informações que podem colidir com dados pessoais e direitos de privacidade, e é pela sua natureza que avança. Como as informações são acumuladas e geridas através da Internet, é indispensável implementar medidas de cibersegurança para os dispositivos conectados à rede.
Segue-se uma explicação sobre as medidas de cibersegurança que devem ser tomadas previamente e as responsabilidades que devem ser assumidas em caso de um ataque cibernético.
Responsabilidade dos Fabricantes de Dispositivos: Lei da Responsabilidade pelo Produto
Se um dispositivo IoT for alvo de um ciberataque, o fabricante do dispositivo pode ser sujeito a uma reivindicação de indemnização ao abrigo da Lei Japonesa da Responsabilidade pelo Produto.
Os critérios para a ocorrência de responsabilidade sob a Lei da Responsabilidade pelo Produto são os seguintes:
- Existência de um defeito no produto;
- Que esse defeito tenha causado danos à vida, ao corpo ou à propriedade de terceiros;
- Ocorrência de danos.
O termo “defeito” mencionado no ponto 1 refere-se a uma condição em que a segurança que normalmente se esperaria está ausente, podendo ser dividido em defeitos de fabricação, defeitos de design ou defeitos nas instruções ou avisos.
A responsabilidade do fabricante num caso real de ciberataque será determinada com base nas seguintes condições:
- Se o produto atendia ao nível técnico esperado no momento da entrega;
- Se estava em conformidade com as diretrizes publicadas mais recentes ou com os padrões voluntários.
Os fabricantes de dispositivos podem evitar a responsabilidade se conseguirem provar que não era possível reconhecer a existência do defeito. No entanto, terão de demonstrar que o defeito não era reconhecível mesmo com o mais alto nível técnico disponível no momento da entrega, o que torna a possibilidade de tal defesa ser aceite bastante baixa.
Responsabilidades do Administrador de Rede: Código Civil Japonês
Quando uma rede sofre um ciberataque e ocorre uma fuga de informações, é possível que o administrador da rede seja alvo de um pedido de indemnização por danos com base no Código Civil Japonês, e não na Lei de Responsabilidade pelo Produto, pelas seguintes razões:
- Violação do contrato entre o administrador da rede e o utilizador
- Incumprimento da obrigação de medidas de segurança por parte do administrador da rede
- Responsabilidade por ato ilícito devido à negligência do administrador da rede (Artigo 709 do Código Civil Japonês)
Em qualquer destas causas, a questão central é se o administrador da rede foi negligente ao não implementar as medidas de segurança adequadas.
Além disso, existem precedentes judiciais que indicam que as “medidas de segurança adequadas” não são apenas aquelas que correspondem ao padrão no momento do contrato, mas também as que estão em conformidade com as diretrizes publicadas no momento do ciberataque (Decisão do Tribunal Distrital de Tóquio, 23 de janeiro de 2014 (Heisei 26)).
Portanto, o administrador da rede deve estar sempre ciente das atualizações das diretrizes importantes e atualizar o software conforme necessário, mesmo após a entrega.
<Diretrizes de Segurança da Informação Atuais>
- Diretrizes de Segurança IoT ver1.0[ja] | Ministério da Economia, Comércio e Indústria do Japão
- Estrutura Geral para a Segurança de Sistemas IoT Seguros[ja] | NISC
- Guia de Design de Segurança para o Desenvolvimento de IoT[ja] | IPA
Artigo relacionado: Danos por ciberataques. Qual é a responsabilidade do fornecedor do sistema? Explicação com exemplos de cláusulas contratuais[ja]
Conclusão: O negócio de IoT requer um entendimento jurídico especializado
O negócio de IoT caracteriza-se pela acumulação e utilização de informações pessoais e privadas dos utilizadores através da Internet, o que impulsiona o seu progresso.
Por isso, os operadores não só têm a responsabilidade pelo produto enquanto eletrodoméstico, mas também, enquanto gestores de informações pessoais, devem estar atentos às atualizações da Lei de Proteção de Dados Pessoais e das diretrizes de segurança da informação.
Acidentes com produtos podem não só afetar fisicamente os utilizadores, mas também há o risco de danos se espalharem para um número indeterminado de pessoas devido a vazamentos de informações.
Ao iniciar um negócio de IoT, é crucial consultar um advogado com amplo conhecimento especializado, desde a Lei de Responsabilidade pelo Produto até à Lei de Proteção de Dados Pessoais e as mais recentes diretrizes de segurança da informação.
Apresentação das Medidas da Nossa Firma
A Monolith Law Office é uma firma de advocacia com vasta experiência em IT, especialmente na interseção entre a Internet e o direito. Nos últimos anos, o negócio de IoT tem ganhado destaque e a necessidade de verificações legais tem aumentado significativamente. A nossa firma oferece soluções para negócios relacionados com IoT.
Áreas de atuação da Monolith Law Office: Assessoria Jurídica para IT e Startups[ja]
Related Articles
A partir de Outubro de 2023 (Ano 5 da era Reiwa), a 'Publicidade' torna-se obrigatória. Explicaç.
General Corporate
O que é Scraping? Explicando os desafios legais do método de coleta de dados útil que está a gan.
General Corporate
O que são cláusulas de força maior e inadimplência de dívidas causadas pelo novo coronavírus?
General Corporate
Pontos essenciais que as empresas japonesas devem considerar ao explorar a expansão internaciona.
General Corporate
Jogos e Lei (Primeira Parte): Lei de Direitos Autorais, Lei de Exibição de Prêmios, Lei de Pagam.
General Corporate
