Acaba de ser publicado no site do BNDES o relatório completo sobre "Internet das Coisas: Direito e Regulação", parte do estudo liderado pelo banco, em parceria com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) para subsidiar o Plano Nacional de IoT. 

Também já estão disponíveis no site o Modelo Conceitual Observatório de IoT e o Relatório final do estudo.

Com esses publicações, está praticamente encerrada a etapa do estudo, que nos últimos 9 meses procurou (1) fazer o diagnóstico do ecossistema brasileiro de IoT e as tendências mundiais, (2) explicar como foi feito o processo de priorização dos ambientes de aplicação, (3) aprofundar nos desafios dos ambientes e nas aplicações de IoT para resolvê-los, e (4) apresentar o Plano de Ação de IoT.

Nas próximas etapas, serão realizadas sessões de trabalho com atores importantes na implementação do plano, por exemplo, ministérios, confederações, agências de fomento etc, para detalhamento das iniciativas e do modelo de governança que será instituído. A institucionalização do Plano Nacional de IoT deve acontecer por meio de decretos e portarias a serem lançados nos próximos meses.

_____

Em tempo: O documento sobre Direito e Regulação aborda três pontos cruciais: o ambiente regulatório das telecomunicações; em relação à privacidade e proteção do dados pessoais; e quanto à segurança da informação.

Com relação às telecomunicações,  o relatório conclui que será preciso:

1 – Revisar a definição das comunicações M2M, conceito essencial para o funcionamento de inúmeras funcionalidades da IoT.

2 – Revisar o quadro regulatório de telecomunicações para viabilizar o investimento na ampliação de rede no país (p. ex.: PLC nº 79/2016).

3 – Realizar o mapeamento do uso do espectro licenciado no país, utilizando a previsão contida no art. 5º, I, da Resolução da Anatel nº 671, de 3 de novembro de 2016 (comprovação periódica de uso efetivo de radiofrequências).

4 –  Rever os requisitos técnicos previstos na regulamentação para avaliar a conformidade de equipamentos de radiocomunicação restrita, de modo a evitar barreiras de entrada a tecnologias específicas.

5 – Revisar o modelo arrecadatório do Fundo de Fiscalização das Telecomunicações (FISTEL) para comunicações M2M.

Já no que diz respeito à privacidade e proteção de dados, que há a necessidade de:

1 – Implantar segurança jurídica para a proteção de dados pessoais, através da promulgação de uma lei geral de proteção de dados pessoais e da criação de instância reguladora sobre a proteção de dados pessoais.

E aqui cabe ir um pouco mais fundo. De acordo com os autores do estudo, "a co-regulação representa modelo regulatório mais apropriado para regulamentar e fiscalizar a privacidade. Todavia, enquanto não aprovada legislação específica para a proteção de dados pessoais e instituída autoridade competente em modelo de coregulação, práticas transitórias de auto-regulação podem ser estimuladas, visando à proposição de códigos de conduta e regras setoriais pelo setor privado.

Recomenda-se que a autoridade a ser criada seja única e centralizada, possibilitando a participação de atores relevantes, sendo composta por corpo técnico especializado (nos campos tecnológico, jurídico, econômico, mercadológico, entre outros) e dotada de independência financeira e decisória.

Dentre suas atribuições, propomos que a autoridade possa (i) editar normas complementares à legislação federal; (ii) realizar auditoria no tratamento de dados pessoais; (iii) promover ações educacionais; (iv) adotar providências em incidentes de segurança; (v) gerir a transferência de dados pessoais para o exterior; (vi) verificar o cumprimento de normas ou códigos de conduta elaborados em regime de auto-regulação (i.e., binding corporate rules na União Europeia); (vii) atuar como ombudsman, recebendo e investigando reclamações individuais contra a má-administração de dados pessoais por entidades públicas e privadas; e (viii) impor sanções diversas (como advertência, imposição de multas e suspensão de atividades).

Especificamente em relação às formas de financiamento, apresenta-se três modelos: (i) dotação orçamentária específica, modelo adotado atualmente na União Europeia e nos Estados Unidos; (ii) financiamento por meio de multas aplicadas (modelo da Agencia Española de Protección de Datos); ou (iii) registro obrigatório de bancos de dados, em uma adaptação de práticas uruguaias."

E, por fim, em relação à segurança da informação:

1 – Aprimorar os mecanismos de cooperação internacional para prevenção e tratamento de incidentes de segurança da informação, por meio da adesão a Acordos de Troca e Proteção Mútua de Informações Classificadas.

2 –  Incentivar a adoção de padrões internacionais na segurança da informação pela iniciativa privada.

3 –  Estruturar a governança baseada em modelo multissetorial, com a criação ou designação de estrutura específica para coordenação de atividades baseadas em segurança da informação, na forma de conselho permanente, órgão/entidade pública ou agência reguladora independente. Essa entidade pode apoiar a elaboração de políticas nacionais, a criação de mecanismos de resposta a incidentes, entre outras atribuições.

4 – Estimular a cooperação e interação entre o poder público, sociedade civil, iniciativa privada e academia, para promover medidas de conscientização e fomento da segurança da informação.

5 – Incentivar a criação de sistema de certificação de segurança da informação em dispositivos de IoT, baseado em modelo de autorregulação pela iniciativa privada. O modelo pode ser baseado em autoavaliação voluntária, com a adoção de selo/sinalização de conformidade ao consumidor, o que evitaria alto custo de entrada.

6 – Estruturar modelo de corregulação ou regulação híbrida para a certificação de dispositivos de IoT, mediante a consolidação do modelo de certificação voluntária, com a participação de conselho multissetorial ou agência pública focada em segurança da informação.

7 –  Fortalecer a estrutura institucional dedicada à segurança de infraestruturas críticas no âmbito da Administração Pública Federal, e incentivar os setores regulados a respeitarem aspectos mínimos de segurança da informação, em particular nos setores de infraestrutura crítica.

Aconselho aos interessados a leitura atenta do relatório, de 193 páginas, destacando as implicações regulatórias para cada uma das quatro verticais priorizadas: Cidades, Saúde, Rural e Indústria.