A transformação digital dos municípios brasileiros vem se intensificando nos últimos anos, e uma das vertentes mais visíveis desse movimento é a adoção de soluções baseadas em Internet das Coisas (IoT – Internet of Things). Nesta linha, prefeituras têm investido em cercamento eletrônico, câmeras de reconhecimento facial, sensores urbanos e até mesmo na oferta de internet gratuita em paradas de ônibus, parques, praças e outros espaços públicos. Esses projetos, em teoria, promovem maior eficiência na gestão, ampliam a sensação de segurança e aproximam a população dos benefícios da conectividade. Contudo, por trás dessas iniciativas existem riscos significativos que não podem ser ignorados, especialmente quando se trata de segurança da informação, proteção de dados pessoais e conformidade com o marco regulatório vigente.
Ao implementar soluções de IoT, os municípios passam a lidar com uma coleta massiva de informações sensíveis. Reconhecimento facial, por exemplo, envolve o tratamento de dados biométricos, classificados pela Lei Geral de Proteção de Dados (LGPD) como dados pessoais sensíveis e, portanto, sujeitos a um tratamento diferenciado, portanto com controle mais rigoroso. Muitas vezes, entretanto, a base legal que justificaria o tratamento dessas informações não é claramente definida, expondo, tanto a administração pública quanto os gestores, a riscos de responsabilização e a potenciais sanções da Autoridade Nacional de Proteção de Dados (ANPD). Soma-se a isso o risco do uso indevido desses dados, em situações nas quais a informação é empregada para fins diversos daqueles que motivaram sua coleta originalmente, realidade que frequentemente decorre da ausência de normativos claros e da falta de preparo técnico e jurídico dos agentes que operam e/ou gerenciam tais sistemas. A integração de bases de dados entre diferentes órgãos públicos ou com parceiros privados, quando feita sem controles adequados, amplia ainda mais as chances de vazamentos, acessos não autorizados e violações de privacidade.
Do ponto de vista da cibersegurança, os desafios são igualmente graves. Cada dispositivo conectado à rede municipal representa um potencial ponto de vulnerabilidade que pode ser explorado por agentes mal-intencionados. Muitas vezes, por questões de custo ou pela inexistência de exigências específicas em processos licitatórios, os equipamentos adquiridos não seguem padrões mínimos de segurança, deixando portas abertas para ataques. Redes compostas por milhares de sensores, câmeras e roteadores tornam-se alvos fáceis para ataques de negação de serviço distribuído (DDoS), sequestro de dados (ransomware) e até para a formação de botnets que, além de comprometerem serviços críticos, podem servir a ataques em larga escala contra outras instituições. Nesse cenário, a prefeitura não apenas coloca em risco a continuidade dos serviços públicos, mas também expõe os cidadãos a graves violações de privacidade e integridade de seus dados.
Outro aspecto que exige atenção especial é a conformidade com o Marco Civil da Internet (Lei nº 12.965/2014), que estabelece princípios como a neutralidade da rede, a proteção à privacidade e a garantia dos direitos fundamentais dos usuários. Ao ofertar internet pública gratuita, por exemplo, a prefeitura assume responsabilidades adicionais, como a manutenção de registros mínimos de conexão e o dever de assegurar a privacidade dos cidadãos que utilizam o serviço. A negligência nesse ponto pode resultar não apenas em falhas de segurança, mas também em violações ao próprio direito fundamental à privacidade, especialmente se houver utilização inadequada dos registros de navegação ou compartilhamento indevido dessas informações.
Diante desse cenário, é imprescindível que as administrações municipais planejem seus projetos de IoT de forma estratégica, antecedendo a implementação com avaliações de risco de segurança e de impacto à proteção de dados (RIPD). Também é fundamental que políticas de governança em privacidade sejam estabelecidas, de modo a garantir transparência, segurança jurídica e respeito aos direitos da população. Nos processos de aquisição de tecnologias, os editais de licitação devem trazer critérios técnicos claros, como a exigência de criptografia, mecanismos de atualização automática e certificações reconhecidas, evitando soluções frágeis e vulneráveis. A gestão contínua das iniciativas deve incluir monitoramento em tempo real, auditorias periódicas e programas de conscientização, pois a falta de conhecimento dos agentes envolvidos é um dos fatores que mais contribui para o uso indevido dos dados e para desvios de finalidade. Além disso, convênios e contratos firmados com fornecedores e operadores de dados precisam prever responsabilidades claras quanto à proteção das informações.
Os projetos de IoT têm, sem dúvida, potencial para transformar a vida urbana, trazendo maior segurança, eficiência e inovação para as cidades brasileiras. No entanto, quando implementados sem o devido cuidado com a segurança da informação, a proteção de dados e a conformidade legal, podem transformar-se em riscos significativos para a própria administração, para o gestor público e, sobretudo, para o cidadão. Mais grave ainda, podem resultar no uso de informações pessoais em contextos não autorizados, violando princípios básicos da LGPD e do Marco Civil da Internet. Cabe às prefeituras, portanto, liderar esse processo com responsabilidade, garantindo que a inovação tecnológica esteja sempre acompanhada de uma sólida governança de dados e do respeito aos direitos fundamentais da população.
