Cloud computing é um modelo de disponibilização de softwares e de infraestruturas de processamento e armazenamento de dados através de uma rede (internet), também conhecido como “computação em nuvem”. O princípio da nuvem é de virtualização total e de máxima disponibilidade dos dados, onde é irrelevante o local de acesso e o dispositivo utilizado. Ou seja, desafia o modelo jurídico atual ainda baseado em fronteiras físicas.
Considerando que a nuvem pressupõe um mundo sem barreiras, mas que apesar de plano e globalizado ainda é extremamente local no sentido da legislação de cada país e da própria soberania dos Estados, do princípio da “territorialidade dos ordenamentos jurídicos”, há elevada preocupação no tocante a segurança da informação e a eventual indisponibilidade do serviço que impeça acesso aos dados, bem como infração a leis específicas de proteção de dados sensíveis ou sigilosos, dependendo do tipo de informação e dos países envolvidos (país do prestador de serviço, país do contratante detentor das informações, país da origem dos dados das pessoas ou empresas).
Por este motivo já há uma oferta de quatro modelos de “nuvem” disponíveis: a) nuvem privada; b) nuvem pública; c) nuvem comunitária; d) nuvem híbrida. A nuvem privada é de propriedade exclusiva de uma empresa, para uso próprio, que detém seu controle e suporta seus custos de infra-estrutura. A nuvem pública é a mais conhecida, pelo custo baixíssimo e grande parte dos serviços e aplicações da web estão baseados nela, de caixa postal de email gratuito a redes sociais. A nuvem comunitária envolve um conjunto de empresas que se conhecem e se reúnem para compartilhar os custos de infra-estrutura. Tem sido bastante comum em alguns mercados ou mesmo em grupo de empresas. E o último formato, que é o híbrido, faz uso de um ou mais modelos, diferenciando o tipo de nuvem conforme o grau de segurança necessário a aplicar aos dados e às exigências legais relacionadas aos mesmos.
Os benefícios da nuvem são inquestionáveis, independente do formato adotado. Por isso, é tida como a Solução de TI para o Século XXI. De acordo com o estudo do Carbon Disclosure Project, as companhias americanas planejam acelerar a adoção de computação em nuvem de 10% para 69% de seus gastos com TI até 2020, visando reduzir seu consumo de energia, diminuir suas emissões de carbono e seus investimentos em recursos de TI, além de aumentar a eficiência operacional.
Entre todos os países da América Latina, o Brasil é o líder no uso de Cloud Computing, de acordo com o estudo realizado pela consultoria IDC. Cerca de 18% das médias e grandes empresas já utilizam alguma forma de cloud e a expectativa é que em 2013 o número salte de 30% para 35%.
Toda e qualquer empresa que quiser ofertar ou fazer uso de computação em nuvem deve realizar uma análise de riscos técnica-legal, que deve necessariamente envolver o aspecto jurídico do uso do serviço de cloud computing, visto que há que se observar as leis vigentes do país de origem dos dados (não apenas da empresa que os detém, mas dos clientes também) e dos países em que os mesmos serão armazenados ou disponibilizados. Logo, devem ficar bem claros os aspectos e limites de responsabilidade das partes no que tange garantia de acesso, guarda, recuperação e eliminação (descarte) dos dados que ficarão no ambiente de nuvem, bem como a capacidade de suportar um incidente de vazamento de informações ou acesso aos mesmos por autoridade estrangeira.
No caso do mercado financeiro, por exemplo, há aspectos de sigilo bancário que devem ser considerados no uso da nuvem. Logo, pode ser necessário segregar o conteúdo, separando dados que possam ter norma própria, regrando que de algum modo restrinja que estejam colocados em outro país, além de ter que atender orientações para mitigação de riscos operacionais.
Portanto, os principais pontos de preocupação com o cloud computing envolvem especialmente: autenticação forte (controle de acesso) e criptografia de dados na nuvem (segurança). Desta forma, há uma proteção considerável em termos de acesso aos dados. Em seguida vem a questão da disponibilidade dos dados nas pontas, seja do solicitante ou na própria nuvem (hipóteses de apagão digital ou falha de conexão). O que fazer diante da indisponibilidade do serviço? É essencial elaborar um Plano de Continuidade que preveja como ocorrerá backup e eventual redundância dos dados e isso já deve estar previsto no contrato, com definição de nível de serviço (SLA) e penalidades por descumprimento.
É interessante observar que, dependendo da forma como é utilizada, a própria nuvem também pode ser a melhor estratégia para um plano de continuidade de uma empresa que possui armazenagem (storage) próprios e, desse modo, um incidente local não prejudica o acesso aos dados que estão na nuvem.
Deve ser considerado no planejamento de uso do serviço, onde o data center da empresa prestadora dos serviços está instalado e se ela vai fazer uso de outros ambientes compartilhados, atendendo ao máximo do princípio da nuvem, que é a independência de qual é o servidor envolvido? Isso, porque ele pode estar localizado em um país com um sistema legal diverso do sistema jurídico brasileiro.
No Brasil, a Constituição Federal e os demais diplomas legais são genéricos ao tratar de privacidade e intimidade dos dados dos cidadãos e pessoas jurídicas, cabendo ao entendimento doutrinário, jurisprudencial ou alguma lei específica, podemos citar Lei n.º 9.507/97 (Habeas Data), Lei n.º 8.078/91, arts. 43, 44, 72 e 73 (Código de Defesa do Consumidor), Lei 10.406/2002 (Código Civil), Lei 9.296/1996 (Lei de Interceptação), além dos artigos prevendo definição de territorialidade, quebra de sigilo ou violação de segredo (arts 5º, 6º. 7º, 153, 154 do Código Penal). Há ainda o texto do Anteprojeto de Lei de Proteção aos Dados Pessoais que está em discussão e abrange os dados coletados em território nacional ou por empresas reguladas pela legislação brasileira, ou ainda, quando o armazenamento se dê em terras brasilis.
O fato é que a empresa deve respeitar sempre os ditames estabelecidos pela legislação do país daqueles que tiveram seus dados coletados e, também, deve estar de acordo com as disposições do local onde estes serão armazenados ou solicitados (utilizados). No caso do Brasil, estamos atrasados no aspecto legislativo sobre a matéria, outros países como Argentina (Lei 25.326/2000, Decreto 1528/2001), Chile (Lei 25.326/2000, Decreto 1528/2001), Uruguai (Código Penal Uruguaio, Lei 17.838/2004, Lei 17.930/2005, Diretivas de Governo e controle tributário, Lei 18.331/2008, Proteção de dados e Habeas Data), estão bem mais adiantados.
No caso da Argentina, há um órgão específico para defender os direitos dos cidadãos que sofrerem alguma violação de seus dados e a previsão de exigência legal no tocante ao uso de técnica adequada para garantir a segurança e confidencialidade dos mesmos, sendo obrigação daquele que mantém o banco de dados somente divulgar informações mediante ordem judicial com o respectivo fim. Cabe, ainda, frisar, que é permitido apenas o envio de informações para outros países, órgãos transnacionais ou internacionais caso estes possuam proteção de dados adequada, com exceções para questões médicas, criminais, bancárias ou quando houver tratado internacional neste sentido.
A legislação chilena impõe que os dados pessoais sejam excluídos sempre que não houver condição que sustente seu armazenamento e também exige padrão mínimo de segurança a ser seguido, sendo permitida a transmissão de dados desde que seja guardada sua finalidade e seja exercida nos termos autorizados, quer pelo indivíduo que se registrou ou pela previsão legal respectiva. Apesar da proteção dos dados dos cidadãos chilenos, há previsão legal para quebra da proteção de dados de estrangeiros colocados no país, uma vez que o Patriot Act de 2001, dos Estados Unidos, pode obrigar o Chile a fornecer dados de alguma instituição que esteja sob sua jurisdição, em virtude do Tratado de Livre Comércio estabelecido entre os dois.
Já o Uruguai é o que possui o sistema mais rígido de Proteção de Dados, pois, além de um órgão destinado a fiscalizar e fazer cumprir as determinações da legislação que cuida do tema, a saber Unidad Reguladora y de Control de Datos Personales (Órgão Regulador do Controle de Dados Pessoais), estabelecendo todos os conceitos e implicações da criação, guarda, transporte, disponibilidade, divulgação e tratamento de dados em geral. A transmissão de dados a outro país ou organização estrangeira é proibida a menos que o destinatário proporcione condições de segurança e proteção de acordo com padrões internacionais ou regionais sobre a matéria. Nesses casos deverá existir autorização do Órgão Regulador do Controle de Dados Pessoais.
Por fim, é importante observar o armazenamento de informações dos órgãos públicos em outro país, visto que pode implicar em atrito com a soberania nacional, nos termos do artigo 1º, inciso I, da Constituição Federal, na medida em que deixa na posse de estrangeiros informações do Estado Brasileiro, as quais, via de regra, são sigilosas e confidenciais. Será que teremos que criar uma “nuvem pública nacional” para atender à Administração Pública ou os mecanismos de autenticação, criptografía e segurança da informação são suficientes? Esta nuvem poderá ser considerada território brasileiro para aplicação de lei (como ocorre com navio e aeronave) ou não? Por certo, é pauta para o Exército e o Ministério da Defesa definirem, assim como sobre terrorismo e guerra cibernética, com os ataques aos sites de governo.
Fonte: IDG Now
Nenhum comentário:
Postar um comentário