A Protecção de Dados na Cloud, Advogado, Sócio da SRS Advogados 27.05 2014
Aquela Nuvem - É tão bom ser nuvem, ter um corpo leve, e passar, passar. - Leva-me contigo. Quero ver Granada. Quero ver o mar. ( ) Eugénio de Andrade (1923-2005), Aquela Nuvem e Outras (1986) 2
These are the Clouds These are the clouds about the fallen sun, The majesty that shuts his burning eye: The weak lay hand on what the strong has done, Till that be tumbled that was lifted high And discord follow upon unison, And all things at one common level lie. And therefore, friend, if your great race were run And these things came, so much the more thereby Have you made greatness your companion, Although it be for children that you sigh: These are the clouds about the fallen sun, The majesty that shuts his burning eye. W. B. Yeats (1865-1939) These are the Clouds,The Green Helmet and Other Poems, 1910 3
Definição de Cloud computing: A computação em nuvem é um modelo para permitir o acesso ubíquo, conveniente, a pedido e através de uma rede [Internet] um conjunto de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente disponibilizados e fornecidos com um esforço mínimo de gestão ou interacção mínima com o prestador de serviços. Fonte: National Institute of Standards and Technology (NIST), US Department of Commerce, Special Publication 800-145 4
Modelos de Servic o Cloud: Infrastructure as a Service (IaaS): Amazon Web Services, Windows Azure, Cisco, HP, IBM, Atos, SmartCloudPT; Platform as a Service (PaaS): Amazon Web Services (AWS), Google App Engine, Microsoft Windows Azure, Salesforce; Software as a Service (SaaS): Email, GOOGLE AppStore, Salesforce, Dropbox, QuickBooks, e Microsoft Office 365. 5
6
Comunicação da Comissão de Setembro de 2012, Explorar plenamente o potencial da computação em nuvem na Europa (COM/2012/0529 final) Potencial na Europa: despesa directa suplementar de 45 000 MEUR em 2020 e impacto cumulativo global no PIB europeu de 957 000 MEUR e 3,8 milhões de postos de trabalho até 2020 As preocupações em matéria de protecção de dados foram identificadas como um dos mais sérios obstáculos à adesão à computação em nuvem. 7
Alguns Exemplos de Autoridades de Protecção de Dados Europeias que se Ocuparam do Tema Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião 5/2012, sobre Cloud Computing Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12), CBP (NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD (Schleswig- Holstein, D, 07/2012), International Working Group on Data Protection in Telecommunications (Berlim, 24/04/2012) Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud Computing. 8
Snowden, Junho de 2013 Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014: Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos (2013/2188(INI) Relator: Claude Moraes, MEP, UK URL: http://www.europarl.europa.eu/sides/getdoc.do?pubref=-//ep//text+report+a7-2014- 0139+0+DOC+XML+V0//PT 9
Algumas Conclusões Sobre as Actividades de Vigilância As actividades de vigilância em larga escala permitem às agências de informação [americanas] ter acesso a dados pessoais armazenados ou submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de serviços de computação em nuvem com os principais prestadores de serviços de computação em nuvem dos Estados Unidos, Os serviços de informação norte-americanos tiveram acesso a dados pessoais armazenados ou tratados em servidores localizados no território da UE interceptando as redes internas da Yahoo e da Google; Não se exclui a possibilidade de os serviços de informação terem tido acesso às informações armazenadas em serviços de computação em nuvem pelas autoridades públicas ou empresas e instituições dos Estados-Membros. 10
Relatório da Information Technology and Innovation Foundation, Washington, 2013 As revelações sobre as actividades de espionagem irão custar à indústria americana de cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre 2014 e 2016 Inquérito 3/2014, NTT Communications (algumas conclusões interessadas ): Almost nine in ten (88 percent) ICT decision-makers are changing their cloud buying behaviour, with over one in three (38 percent) amending their procurement conditions for cloud providers; Only 5 percent of respondents believe location does not matter; Around six in ten (62 percent) of those not currently using cloud feel the revelations have prevented them from moving their ICT into the cloud; ICT decision-makers now prefer buying a cloud service which is located in their own region, especially EU respondents (97 percent) and US respondents (92 percent). 11
Protecção de Dados fora do Quadro das Negociações da Parceria Transatlântica para o Comércio e Investimento: Including data protection in the trade talks is like opening Pandora s box. The EU is not ready to lower its own standards... That is why the free trade agreement negotiations are not going to include privacy standards. Viviane Reding, Financial Times, Novembro de 2013 Comunicação da Comissão ao Parlamento Europeu e ao Conselho Rebuilding Trust in EU-US Data Flows, 27.11.2013 Ad hoc EU-US Working Group on Data Protection US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de acordo que facilite transferências de dados no quadro da cooperação judicial e policial no dominio criminal, assegurando um elevado nível de protecção para os cidadãos europeus e americanos negociações a concluir no Verão de 2014. 12
Algumas Questões Jurídicas Fundamentais Caracterização jurídica do prestador de serviços cloud Responsável pelo tratamento: pessoa que individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais ; Subcontratante: pessoa que trate os dados pessoais por conta do responsável pelo tratamento ; Distinção fundamental para alocação correcta de responsabilidade e estruturação do modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012) Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu cumprimento; contrato escrito;, vinculação; medidas de segurança; Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10). 13
Algumas Questões Fundamentais Gratuitidade dos Serviços v onerosidade; Portabilidade; Segurança e Integridade; Localização dos dados e acórdão Digital Rights Ireland (Acórdão TJUE, 4/2014). 14
Transferências Internacionais de Dados Exclusão de BCRs - Binding Corporate Rules for Processors, WP 29, 12/2012 (CNPD?) EU + EEE Empresa Contratos ad hoc Safe harbour A transferência internacional obtém aprovação automática se efectuada ao abrigo de cláusulas standard aprovadas pela Comissão Europeia (cláusulas Standard Responsável-Subcontratante, de 2010) Vazio de soluções adequadas nas transmissões Subcontratante-Sub-subcontratante, limitações de soluções propostas, exigindo outorga do responsável em cada subcontratação; WP29, Working document 01/2014 on Draft Ad hoc contractual clauses EU data processor to non-eu Sociedade Rebelo sub-processor de Sousa Prestador de Serviços Cloud Subcontratante Sub-subcontratante em país terceiro 15
Afloramento Sobre a Proposta de Regulamento de Protecção de Dados Regime de responsabilização dos subcontratantes obrigações que decorrem do regulamento; Portabilidade; Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a clientes europeus; Deveres de notificação em caso de violação de privacidade - segurança e integridade. 16
Cloud Computing Protecção de Dados Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing Lançado pela Comissão Europeia em Outubro de 2013, após processo de selecção ocorrido no Verão de 2013; Tem a missão de redigir cláusulas seguras e equitativas para os contratos de computação em nuvem, com base num instrumento opcional; O objectivo é identificar as boas práticas utilizadas para responder às preocupações dos consumidores e das pequenas empresas, que frequentemente se mostram relutantes em comprar serviços de computação em nuvem porque os contratos são pouco claros. URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm 17
Cloud Computing Protecção de Dados nec temere nec timide 18
Protecção de Dados Pessoais na Cloud Obrigado Thank you. 19
LISBOA R. Dom Francisco Manuel de Melo, nº21, 1070-085 T. +351 21 313 2000 F. +351 21 313 2001 FUNCHAL Av. Zarco, nº2, 2º, 9000-069 T. +351 291 20 2260 F. +351 291 20 2261 PORTO (*) R. Tenente Valadim, nº215, 4100-479 T. +351 22 543 2610 F. +351 22 543 2611