sexta-feira, 14 de dezembro de 2012

Afinal, o governo pode ter acesso a dados armazenados na nuvem?


O jornal Valor Econômico publicou uma matéria no dia 11 de Dezembro sobre um estudo da consultoria Frost & Sullivan que estima que em 2016 a receita das empresas de Tecnologia da Informação (TI) com serviços na nuvem (cloud), no Brasil, vai ultrapassar US$ 1 bilhão (atualmente, esta renda gira em torno de US$ 174 milhões). Deste total, aproximadamente a metade virá da venda de infraestrutura em nuvem, 33% de software na nuvem e o restante de outras plataformas. O relatório foi elaborado com base em entrevistas com 121 dirigentes da área de TI em diferentes setores. Ainda segundo o estudo, para 84,6% dos entrevistados o aspecto mais importante é a dispobibilidade de infraestrutura para uma eventual expansão e para 81,3% a possibilidade de redução de custos é fator determinante. Para 72,7% a segurança é um fator chave para o sucesso da área de Ti das empresas.

O consumo de serviços em nuvem vem crescendo a taxas elevadas anualmente, em todo o mundo. Empresas dos mais diversos setores já utilizam software e/ou serviços em nuvem, com objetivos similares aos apontados pela pesquisa. No entanto, antes de dar o primeiro passo, deparam-se com dúvidas difíceis de serem esclarecidas. A principal delas está associada com a possibilidade de, a qualquer momento, o governo norteamericano acessar as informações armazemadas pela empresa na nuvem, alegando, por exemplo, uma questão de segurança nacional. A base para este questionamento é o famoso "Patriot Act", lei publicada pelo governo americano em 26 de outubro de 2001, logo após os atentados terroristas sofridos pelo país.

Meu amigo Cezar Taurion compartilhou um estudo, realizado em maio deste ano pela Hogan Lovells (HL) que analisa este tema. A HL é uma empresa global que atua na área jurídica e tem como objetivos suportar grandes corporações, instituições financeiras e entidades governamentais em todo o mundo. Eles possuem mais de 2400 advogados operando em mais de 40 escritórios nos Estados Unidos, Europa, América Latina, Oriente Médio e Ásia.

Para realizar o estudo, foram consultados advogados com conhecimento sobre "proteção de dados" e "leis de acesso do governo a dados privados". As seguintes perguntas foram feitas:
  1. O Governo pode requisitar ao provedor de serviços que forneça dados privados armazenados por ele, quando durante uma investigação governamental?

  2. Um provedor de serviços de nuvem pode voluntariamente informar dados privados para o governo em resposta a uma consulta informal?

  3. Se um provedor de serviços de nuvem for obrigado a informar dados privados para o governo, ele deve informar ao cliente?

  4. O Governo pode monitorar as comunicações eletrônicas enviadas pelo sistema do provedor de serviço em nuvem?

  5. As requisições do governo para acesso a dados privados estão sujeitas a revisão por um juíz?

  6. Se o provedor de serviços em nuvem armazenar os dados em servidores em outro país, o Governo pode ainda assim solicitar acesso aos dados?
O estudo é bem interessante e analisa a legislação de acesso a dados privados em 10 países: Estados Unidos, Austrália, Canadá, Dinamarca, França, Alemanha, Irlanda, Japão, Espanha e Reino Unido.

Em primeiro lugar, é importante entender que a possibilidade de acesso a informações particulares é uma necessidade governamental e que já é praticada em diversas situações como, por exemplo, com a quebra de sigilo bancário e telefônico ou com os mandados de segurança para investigações em empresas, escritórios ou domicílios. Órgãos do governo lançam mão deste tipo de recurso em situações de risco de segurança nacional ou em investigações criminais. Com base nisso, já não faria muito sentido imaginar a nuvem como sendo um "paraíso fiscal", completamente blindado do mundo real.

Além disso, não estamos falando de algo relacionado apenas aos Estados Unidos. Todos os estados modernos tem mecanismos estabelecidos em lei que regulam a forma como o governo pode ter acesso a informações privadas, em caso de necessidade. A França também tem seus mecanismos e, aparentemente, são mais rígidos do que a legislação norteamericana.

Ao mesmo tempo em que governos necessitam ter meios legais para executar investigações, a privacidade e a confidencialidade também são patrimonios fundamentais e a base da nossa sociedade. Ou seja, o grande desafio é atingirmos uma situação de equilíbrio em que se tenha confiança entre as partes.

O estudo chegou as seguintes conclusões:
  1. Não é possível blindar dados armazenados na nuvem, do acesso de um governo, com base na localização do provedor de serviços ou de seu datacenter. A possibilidade de um governo ter acesso a dados armazenados na nuvem ultrapassa as barreiras geopolíticas tradicionais.

  2. Governos usualmente estabelecem acordos de colaboração em investigações (conhecidos como MLAT - Mutual Legal Assistance Treaties). Basicamente estes acordos permitem que um governo tenha acesso a dados armazenados em outro país, caso os mesmos sejam importantes em um processo de investigação legal.

  3. Por fim, o relatório conclui que todos os países pesquisados possuem mecanismos que autorizam os governos a solicitar acesso aos dados armazenados pelos provedores de serviço na nuvem em determinadas situações e, na maioria deles, permite o acesso a dados localizados no exterior, desde que exista uma situação legalmente estabelecida.
A tabele a seguir compara a resposta para cada pergunta de cada um dos 10 países pesquisados.


A conclusão parece bastante clara. Ao mesmo tempo em que países possuem legislações específicas para garantir a privacidade de dados, eles também estabelecem situações e regras quando o acesso aos mesmos é permitido. É importante entender, no entanto, que o acesso a informações privadas só é autorizado nos termos da lei, quando há necessidade de investigação ou em caso de ameaça à segurança nacional.

Nenhum comentário:

Postar um comentário