Proteção de Dados no(s) Metaverso(s)
- Criado em 08/11/2022 Por Carolina Carmagnani
Discussões sobre o metaverso vêm se tornando corriqueiras, especialmente com o investimento anunciado pela Meta (antiga Facebook) e a expansão da internet (5G). Diversos são os temas tratados, como quais comportamentos esperar dos avatares, quantos metaversos existem (sim, não existe apenas um único metaverso) e como a sociedade será impactada por essa tecnologia.
Por mais que as discussões estejam longe de terminar, um tema é certo, a necessidade de proteger os dados pessoais coletados no metaverso. Veja, logo ao adentrar em alguma das plataformas de metaverso, como a Decentraland e Fortnite, já são coletados tantos dados cadastrais (ex. e-mail, nome, login e senha), como dados sensíveis (ex. biometria e sinais vitais#_ftn1" target="_blank">[1]).
Além disso, quando seu avatar passa em alguma loja comercial são coletados dados de consumo (ex. quais os itens que chamaram a atenção do avatar e quais marcas o avatar está vestindo) e dados de navegação (ex. quanto tempo foi observada a vitrine, quantas vezes o avatar retornou aquela loja etc.)
Em caso de compra e venda dentro do metaverso, também são coletados dados financeiros (ex. carteira digital, dados bancários, criptomoedas etc.) e dados transacionais (ex. endereço de entrega – que não necessariamente precisa ser dentro da plataforma – e dados de rastreio).
Até as interações entre os avatares rendem a coleta de dados com a troca de telefones, redes sociais e dados públicos. Ou seja, inúmeros são os dados coletados pelas plataformas e pelas marcas que nelas atuam (ou, no caso de as marcas não coletarem diretamente os dados, elas podem adquiri-los da plataforma e/ou usá-los para fins de marketing).
A Lei Geral de Proteção de Dados (“LGPD”) é clara ao dispor que os controladores de dados devem possuir mecanismos de segurança aptos a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Da mesma forma prevê o Regulamento Geral sobre a Proteção de Dados (“GDPR”), nos artigos 5º (f) e 32, e a ISO 27001, normativos considerados referências internacionais à privacidade e proteção de dados.
Assim, caberia às plataformas e às marcas (direta ou indiretamente) terem minimamente os seguintes mecanismos de segurança:
· Restrição de acesso aos dados coletados;
· Varredura automática de dados desnecessários;
· Backup;
· Testes de vulnerabilidade e penetração;
· Rotinas de verificação e exclusão de dados;
· Termos de uso; e
· Plano de Resposta à incidentes.
Além da questão de segurança, as plataformas e marcas constantes no metaverso devem se atentar aos princípios da legislação de privacidade, em especial o princípio da transparência, que implica em informar ao titular, de forma clara e concisa, como é feito o tratamento de seus dados pessoais.
Engana-se quem acha que possuir uma política de privacidade seria o suficiente para cumprir com o princípio da transparência. Há alguns obstáculos como (i) de quem seria a responsabilidade desta política (da plataforma, da marca ou de ambas), (ii) como o titular pode exercer seus direitos e (iii) qual seria a jurisdição aplicável e, por conseguinte, qual seria a lei de privacidade adequada (ex. LGPD e GDPR)?
Também se mostra necessário desenvolver meios para obtenção do consentimento do titular para o tratamento de dados no metaverso, especialmente no caso de envolver dados de menores e/ou dados sensíveis, nos quais a legislação impõe maior atenção em razão de seu conteúdo.
Assim, as plataformas e marcas possuem um longo caminho para percorrer para estarem em compliance com a(s) lei(s) de privacidade e proteção de dados dentro do metaverso. Os desafios são inúmeros, conforme demonstrado acima, mas devem ser encarados, visto que o metaverso deixou de ser uma distopia e virou realidade.
#_ftnref1" target="_blank">[1] O uso de um óculos de realidade aumentada por cerca de 20 minutos pode levar à captação de 20 milhões de dados de reações, biometria e comportamento. Fonte: https://proximonivel.embratel.com.br/lgpd-metaverso-exigira-mais-cuidado-com-protecao-de-dados/
LinkLei
AdvogadoCaroline Francescato
Advogado