Serão necessários dispositivos "inteligentes" para permitir a importação e exportação de dados sob o GDPR?

Em maio de 2018, o Regulamento Geral de Proteção de Dados da União Europeia entrará em vigor e os cidadãos da UE terão direitos adicionais em relação a seus dados. Além disso, os controladores de dados (organizações que coletam dados sobre os usuários) terão obrigações adicionais impostas a eles.

Curiosamente, um dos novos direitos dados aos usuários é o direito à portabilidade de dados . A Wikipedia define assim:

Uma pessoa deve poder transferir seus dados pessoais de um sistema de processamento eletrônico para outro, sem ser impedida pelo controlador de dados. Além disso, os dados devem ser fornecidos pelo controlador em um formato eletrônico estruturado e comumente usado. O direito à portabilidade de dados é fornecido pelo artigo 18 do GDPR. Os especialistas jurídicos veem na versão final desta medida um "novo direito" criado que "ultrapassa o escopo da portabilidade de dados entre dois controladores, conforme estipulado no artigo 18".

Para os fins desta pergunta, use o exemplo de um rastreador de saúde inteligente (como um FitBit). Posso exportar dados do meu rastreador FitBit e depois importá-los para o rastreador de um concorrente?

Além disso, como é esperado que eu cumpra esse regulamento se eu projetar meu próprio dispositivo IoT que sincroniza com a Internet?

Eu acho que isso vai ser difícil de responder, peça três advogados para obter quatro respostas, para não mencionar que é algo no futuro. No entanto, eu argumentaria que nem todos os dispositivos (no sentido técnico) seriam obrigados a cumprir essa regra.

Considere um caso de uso em que dispositivos inteligentes funcionam sem um serviço de dados externo ou baseado em nuvem, por exemplo, um sistema doméstico inteligente em que dispositivos IoT reportam a um nó central na referida residência, mas não carregam nada. Nesse caso, simplesmente não há controlador de dados .

Se, por outro lado, um sistema usar os serviços de dados de um controlador de dados para coletar, processar e armazenar dados do usuário (por exemplo, o FitBit mencionado), eles serão necessários para permitir que você se apodere desses dados e os use com outro provedor. Argumento que o sistema de processamento eletrônico não é necessariamente o seu dispositivo (o próprio rastreador), mas o serviço de dados externo que esse provedor oferece. Isso (para mim) também implica que o seu direito de obter esses dados em um formato eletrônico estruturado e comumente usado não exige que o primeiro provedor forneça os dados no formato de arquivo do segundo provedor, se o formato for proprietário e não usado com frequência. Do ponto de vista técnico, esperaríamos que uma API comum permitisse esse intercâmbio de dados, mas ouso dizer que teremos que esperar por isso por algum tempo e várias decisões judiciais em disputa.

Além disso, como é esperado que eu cumpra esse regulamento se eu projetar meu próprio dispositivo IoT que sincroniza com a Internet?

Se for DIY e apenas você usá-lo, provavelmente ficará bem. Se você começar a transformar isso em um negócio, muitas regulamentações, incluindo esta, deverão lhe atingir.