Regulador dos EUA, a FTC diz que agora não é o momento para novas leis sobre a "Internet das Coisas" - mas a segurança deve ser melhorada à medida que entramos na era da always-on, sempre conectados gadgets, sensores e máquinas embutidos nas casas, ruas e bolsos.
Em um relatório [PDF] publicado hoje, o pessoal da comissão de fazer uma série de recomendações de políticas para a onda de novos dispositivos que coletam e transmitem dados em nossas vidas cotidianas.
A partir da câmara que posta fotos online com um clique, a casa de iluminação automatizada e aquecimento, para FitBits e Apple Watches, a Internet das Coisas (IoT) foi o foco deste ano do Consumer Electronic Show, bem como um discurso por FTC presidente Edith Ramirez.
Não haverá 25 bilhões de dispositivos conectados à internet até o final do ano, dobrando para 50 bilhões em 2020, de acordo com estimativas da Cisco. O problema é que muitas das empresas produzindo estes aparelhos não estão considerando adequadamente os riscos associados à coleta de massas de dados pessoais sensíveis, estamos disse.
A segurança é o maior problema, diz a FTC. E ela precisa ser construída "em dispositivos desde o início e não como uma reflexão tardia." Os funcionários também precisam ser treinados sobre a importância da segurança para que haja uma compreensão de toda a empresa e abordagem para a proteção de dados, tanto internamente como com quaisquer terceiros que as empresas trabalham.
Medidas adicionais, tais como uma boa segurança da rede para evitar que usuários não autorizados tenham acesso aos dados, e manter um olho sobre falhas de segurança e prestação de patches de segurança na hora certa, também devem ser as principais considerações.
Tendo em conta que, por exemplo, os fabricantes de roteador em casa são tão lentos para corrigir vulnerabilidades de segurança no firmware, que sorte alguém tem corrigindo falhas críticas em seus interruptores de luz da Internet das coisas, caldeiras e sapatos?
Bem como a segurança, as empresas entrando na onda IoT também deve pensar em "minimização dos dados", ou seja, limitar a quantidade de informação que é recolhida e só guarde-o para um determinado período de tempo.
A lógica do FTC dessa abordagem é que o menor número de empresas bytes sensíveis segurar, a menos de um alvo a sua base de dados será (em teoria) e existe a menor possibilidade de que ele seja usado de forma que os clientes estariam infelizes.
Alternativamente, as empresas poderiam sair de seu caminho para "des-identificar" os dados para que ele não pode ser ligado a indivíduos específicos.
O que você tem?
Em um ponto relacionado, a FTC recomenda que as empresas adotam uma "notificação e escolha" abordagem de dados, ou seja: os clientes são informados que registra os recolhimentos da empresa e tem a opção de optar por sair de seu acervo.
A fim de evitar que as pessoas fiquem sobrecarregados com pedidos de aprovação, a Comissão recomenda que este "aviso e escolha" abordagem é adotada para quaisquer usos que seriam "inesperada", ou seja: não imediatamente óbvio para o consumidor.
Obviamente, isso é algo para os advogados para se divertir com: infelizmente, está a acompanhar um aplicativo de compartilhamento de fotos seus movimentos realmente "inesperada" neste dia e idade?
Se as empresas imediatamente de-identificar dados - apagar qualquer maneira de escolher uma pessoa em particular a partir da informação - a necessidade de oferecer opções é bastante reduzido, aparentemente.
Quanto à legislação, o relatório FTC reconhece que as novas leis podem ser necessários em algum momento, mas que ainda é muito cedo para fazê-lo ", dada a natureza em rápida evolução da tecnologia." Como tal, ele vê a auto-regulação como o melhor caminho a seguir.
Ele faz notar, porém, que a Comissão apelou a legislação de privacidade costas largas em 2012, incluindo as leis de notificação de violação, e que continua a ser a sua posição.
Dissidência
Vale a pena notar que o relatório foi publicado somente após quatro dos cinco comissários votaram a favor de o fazer. O quinto comissário, Joshua D Wright, publicou um parecer divergente [PDF] e argumentou que o documento é um híbrido entre um estranho writeup de discussões e uma declaração política formal.
Ele prefere um ou outro, não uma mistura aparentemente apressado dos dois.
O próprio relatório foi baseado em uma oficina realizada em novembro de 2013, e que se refere aos comentários do público subsequentes sobre a sessão. Mas o relatório, tal como apresentado inclui uma série de recomendações políticas.
Wright argumenta que, se o pessoal da FTC deseja produzir recomendações políticas, ele precisa para apoiá-los com os dados, em vez de "apenas confiar em suas próprias afirmações." Um relatório do seminário deve ser um relatório do que as pessoas diziam; um relatório formal deve "possuir e apresentar comprovação de que as suas recomendações de política são mais propensos a promover a concorrência e inovação do que a sufocá-la", argumenta ele. ®
Nenhum comentário:
Postar um comentário