PROJEP 2016 - Cloud: Contratação Segurança Privacidade Luis Neto Galvão, Sócio, SRS Advogados 18.10.2016
Cloud: Contratação Segurança Privacidade Índice O que são serviços na nuvem? Práticas contratuais não recomendáveis RGPD Aplicação territorial RGPD Natureza do prestador de serviços na nuvem Regime do Subcontratante/subcontratado e a Subsubcontratação Outros deveres 2
O que são serviços na nuvem Definição de Computação na Nuvem: A computação em nuvem é um modelo para permitir o acesso ubíquo, conveniente, a pedido e através de uma rede a um conjunto de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente disponibilizados e fornecidos com um esforço mínimo de gestão ou interacção mínima com o prestador de serviços. (National Institute of Standards and Technology (NIST), US Department of Commerce, Special Publication 800-145) M&A, SOCIETÁRIO E COMERCIAL 3
O que são serviços na nuvem Modelos de Servic o Cloud: - Infrastructure as a Service (IaaS): Amazon Web Services, Windows Azure, Cisco, HP, IBM, Atos, SmartCloudPT; - Platform as a Service (PaaS): Amazon Web Services (AWS), Google App Engine, Microsoft Windows Azure, Salesforce; Software as a Service (SaaS): correio electrónico, GOOGLE AppStore, Salesforce, Dropbox, QuickBooks, e Microsoft Office 365. M&A, SOCIETÁRIO E COMERCIAL 4
Prestadores de serviços na nuvem Cloud: Contratação Segurança Privacidade Fonte: http://www.econtentmag.com/articles/editorial/feature/the-top-100-companies-in-the-digital-content-industry-the-2015-2016- EContent-100-107559.htm 5
Protecção de Dados na Cloud Telecomunicações Luís Neto Galvão 6
Práticas contratuais não recomendáveis Negotiating Cloud Contracts: Looking at Clouds From both Sides Now Kuan Hon, Christopher Millard & Ian Walden QMUL Cloud Legal Project at the Centre for Commercial law Studies 16 Stan. Tech. L. Ver. 79 (2012) Insuficiente informação pré-contratual; Falta de transparência no uso de dados e metadados; Responsabilidade do prestador de serviços ; Service Level Agreements (SLAs) e créditos de serviço; Segurança dos dados; Direitos de cessação do contrato; Cloud: Contratação Segurança Privacidade Portabilidade dos dados e interoperabilidade, custos de migração de dados; Diferente nível de serviço e de resposta do operador em contratos onerosos e gratuitos ; 7
Práticas contratuais não recomendáveis Negotiating Cloud Contracts: Looking at Clouds From both Sides Now Kuan Hon, Christopher Millard & Ian Walden QMUL Cloud Legal Project at the Centre for Commercial law Studies 16 Stan. Tech. L. Ver. 79 (2012) Alterações contratuais com carácter unilateral; Cloud: Contratação Segurança Privacidade Disponibilidade do serviço; Limitação de responsabilidade; Controle e uso do conteúdo. 8
Práticas contratuais não recomendáveis Negotiating Cloud Contracts: Looking at Clouds From both Sides Now Kuan Hon, Christopher Millard & Ian Walden QMUL Cloud Legal Project at the Centre for Commercial law Studies 16 Stan. Tech. L. Ver. 79 (2012) Rigídez Contratual Cloud: Contratação Segurança Privacidade Cloud providers contracts are often click-through, as the nature of cloud services enables use of a click-through consumer-based distribution model, and some providers deliberately choose that model for cloud. Even where contracts were negotiated, some users lawyers commented that their involvement had not been sought at an early enough stage to influence negotiations: Business or procurement people negotiate without lawyers in the room; eventually the contract gets to legal staff, but not soon enough! It is difficult for a user s lawyers to change contract terms when they are told that the contract has already been agreed upon, the service is going live shortly, and to just do a quick review. Insuficiente informação pré-contratual e deficiências da fase pré-contratual (funcionalidades do serviço, requisitos mínimos, capacidade de armazenamento, localização dos dados, etc.) Limitação da Responsabilidade do prestador de serviços / Responsabilidade em matéria de protecção de dados (controller/processor); According to our research, providers state that liability is non-negotiable. 9
Práticas contratuais não recomendáveis Negotiating Cloud Contracts: Looking at Clouds From both Sides Now Kuan Hon, Christopher Millard & Ian Walden 16 Stan. Tech. L. Ver. 79 (2012) Monitorização do serviço; It seems providers generally could do more to improve transparency regarding availability and service levels by providing such data to users proactively. Service Level Agreements (SLAs) e Créditos de Serviço; Standards are still lacking, making it difficult for users to compare different services. In large deals, methods for measuring service levels were often debated ( ) For SLA breaches, remedies are normally excluded except as specifically provided. Segurança dos dados e auditorias; Deals have fallen through because providers would not compromise on audit rights. Direitos de cessação do contrato; Portabilidade dos dados e interoperabilidade, custos de migração de dados; Most providers did not offer any assistance, even contracted paid assistance packages. 10
Práticas contratuais não recomendáveis Negotiating Cloud Contracts: Looking at Clouds From both Sides Now Kuan Hon, Christopher Millard & Ian Walden 16 Stan. Tech. L. Ver. 79 (2012) Diferentes níveis de serviço e de resposta do operador em contratos onerosos e gratuitos ; Alterações contratuais com carácter unilateral; Providers right to change unilaterally service features, functions or even service description, was much negotiated. Disponibilidade do serviço, subcontratação; Controle e uso do conteúdo pelo prestador de serviços falta de transparência (e.g. Facebook). 11
Práticas contratuais não recomendáveis 12
Práticas contratuais não recomendáveis 13
Constatações da CNIL (França) Facebook Fevereiro de 2016 (com DPA da Bélgica, Países Baixos, Espanha e do Land de Hamburgo) O Facebook acompanha a navegação dos internautas sem que estes o saibam, noutros sítios Internet, através de cookies colocados no terminal de cada internauta sem que estes o autorizem; Não recolhe o consentimento expresso dos internautas para recolher e tratar dados sobre a sua orientação sexual ou religiosa e opiniões politicas não fornecendo qualquer informação sobre o modo como irá tratar tal informação; Para enviar publicidade dirigida a cada um dos seus utilizadores, o Facebook procede à combinação de todos os dados pessoais que detém sobre eles, recolhidos por essa rede social, por outras sociedades do grupo ou transferidas por parceiros comerciais, sem que proporcione aos internautas um mecanismo de oposição do uso deste informação para fins publicitários; Facebook transfere dados para os EUA ao abrigo do Safe Harbour. 14
15
O Regulamento Geral de Protecção de Dados e a Nuvem Natureza do prestador de serviços cloud Prestador responsável pelo tratamento v prestador subcontratante (artigo 4.º) A definição de responsável pelo tratamento no RGPD mantém a ideia de que, individualmente ou em conjunto com outros, ele determina as finalidades e os meios de tratamento de dados pessoais O subcontratante trata os dados pessoais por conta do responsável pelo tratamento destes No quadro actual (Directiva 95/46/CE) o prestador de serviços na nuvem, quando actua enquanto subcontratante, deve oferecer garantias suficientes quanto a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu cumprimento; contrato escrito; vinculação; medidas de segurança; 16
Acórdão Google (C-131/12) e o Direito ao Esquecimento Tratamento de dados e Responsável pelo Tratamento Ao pesquisar de forma automatizada, constante e sistemática informações publicadas na Internet, o operador de um motor de busca procede a uma «recolha» de dados na acepção da directiva. O operador «recupera», «regista» e «organiza» esses dados no âmbito dos seus programas de indexação, antes de os «conservar» nos seus servidores e, se for caso disso, de os «comunicar» e «colocar à disposição» dos seus utilizadores, sob a forma de listas de resultados. Estas operações, explícita e incondicionalmente referidas na directiva, devem ser qualificadas de «tratamento», independentemente de o operador do motor de busca efectuar as mesmas operações de maneira indiferenciada com outras informações que não são dados pessoais. o operador do motor de busca é o «responsável» por esse tratamento, na acepção da directiva, dado que é ele que determina as respectivas finalidades e meios. Telecomunicações 9
O Regulamento Geral de Protecção de Dados e a Nuvem Aplicação territorial Aplicável a prestadores de serviços cloud não estabelecidos no território da UE Artigo 3.º, n.º2, als. a) e b) Aplica-se a responsáveis pelo tratamento ou subcontratantes não estabelecidos na UE, quando tratarem dados de residentes na UE, no âmbito de actividades relacionadas com: a) A oferta de bens ou serviços a esses residentes, independentemente da exigência de os mesmos procederem a um pagamento B) o controlo do comportamento desses residentes titulares dos dados. Nestes casos, os responsáveis pelo tratamento e subcontratantes devem designar um representante (art. 27.º, n.1) 18
O Regulamento Geral de Protecção de Dados e a Nuvem Artigo 28.º - O Subcontratante/subcontratado A sua escolha pelo responsável pelo tratamento deve ser criteriosa Responsabilidade na escolha: O responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados. A adopção de códigos de conduta e/ou procedimentos de certificação contribuem para demonstrar as garantias suficientes O tratamento em subcontratação é regulado por contrato ou outro ato normativo escrito, podendo ser um documento electrónico, que vincule o subcontratante ao responsável pelo tratamento 19
O Regulamento Geral de Protecção de Dados e a Nuvem Requisitos do contrato ou acto normativo novos requisitos (art. 28.º) Deve estabelecer o objeto e duração do tratamento, natureza e finalidade, tipo de dados pessoais tratados e as categorias dos titulares dos dados e obrigações e direitos do responsável pelo tratamento. Em particular, deve estipular, designadamente, que o subcontratante: Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade; 20
O Regulamento Geral de Protecção de Dados e a Nuvem Adopta todas as medidas em matéria de segurança do tratamento (art. 32.º); Respeita as condições legais aplicáveis na contratação de outro subcontratante (art. 28.º, n.ºs 2 e 4); Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos respectivos direitos (Capítulo III); Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações em matéria de segurança, notificação e comunicação de violação de dados e avaliação de impacto sobre a protecção de dados e consulta prévia (arts 32.º a 36.º), tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante; Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida por lei nacional ou europeia; e 21
O Regulamento Geral de Protecção de Dados e a Nuvem Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no art. 28.º e facilita e contribui para as auditorias/inspecções por parte do responsável pelo tratamento ou de outro auditor por este mandatado. Informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o Regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de protecção de dados. A Comissão poderá adoptar cláusulas contratuais tipo a utilizar nos contratos com subcontratantes e sub-subcontratantes 22
O Regulamento Geral de Protecção de Dados e a Nuvem Sub-subcontratação: o subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. O contrato pode conter uma autorização geral por escrito, do responsável pelo tratamento ao subcontratante, mas este deve informar o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, O responsável pelo tratamento deve ter contratualmente a oportunidade de se opor a tais alterações. O subcontratante deve replicar no sub-subcontratante as mesmas obrigações supra que sobre si recaem em matéria de protecção de dados por força do contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante (back to back), em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do regulamento. Em caso de incumprimento do sub-subcontratante, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro sub-subcontratante. 23
O Regulamento Geral de Protecção de Dados e a Nuvem Deveres do Responsável pelo Tratamento a Impor contratualmente ao Subcontratante Prestador de Serviços na Nuvem Direito ao apagamento dos dados (direito a ser esquecido), artigo 17.º Direito à limitação do tratamento, artigo 18.º Direito de portabilidade dos dados (formato estruturado, de uso corrente e de leitura automática), artigo 20.º Avaliações de impacto sobre PD: também poderão ser impostas pela via contratual ao subcontratante (art. 35.º) 24
O Regulamento Geral de Protecção de Dados e a Nuvem Obrigações de segurança (art. 32.º) directamente aplicáveis ao subcontratante Notificações de violações de dados pessoais (art. 33.º) O subcontratante apenas é obrigado a notificar o responsável pelo tratamento sem demora injustificada após ter tido conhecimento de uma violação de dados pessoais o responsável pelo tratamento deve impor-lhe contratualmente obrigações mais especificas nesta matéria Responsabilidade do subcontratante (Art. 82.º) além da responsabilidade contratual, o subcontratante é responsável pelo incumprimento das obrigações que para si decorrem do RGPD e em caso de incumprimento de instruções lícitas do responsável pelo tratamento. Designação de encarregado da protecção de dados (Art. 37.º), obrigatória para o subcontratante, quando se verifiquem condições de aplicação. Transferências internacionais (Art. 44.º ss) adequação, garantias adequadas (BCRs, cláusulas tipo, código de conduta, procedimento de certificação), ou derrogações (consentimento, transferência necessária para execução de contrato entre titular dos dados e responsável pelo tratamento. 25
LISBOA R. Dom Francisco Manuel de Melo, nº21, 1070-085 T. +351 21 313 2000 F. +351 21 313 2001 FUNCHAL Av. Zarco, nº2, 2º, 9000-069 T. +351 291 20 2260 F. +351 291 20 2261 Em parceria com_ Simmons & Simmons (*) Andreia Lima Carneiro & Associados _ANGOLA _BRASIL _MACAU _MOÇAMBIQUE PORTO (*) R. Tenente Valadim, nº215, 4100-479 T. +351 22 543 2610 F. +351 22 543 2611