A Protecção de Dados na Cloud - Conselho Distrital de Lisboa
Transcrição
A Protecção de Dados na Cloud - Conselho Distrital de Lisboa
A Protecção de Dados na Cloud Luís Neto Galvão, Advogado, Sócio da SRS Advogados 27.05 2014 Protecção de Dados na Cloud Aquela Nuvem - É tão bom ser nuvem, ter um corpo leve, e passar, passar. - Leva-me contigo. Quero ver Granada. Quero ver o mar. (…) Eugénio de Andrade (1923-2005), Aquela Nuvem e Outras (1986) Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 2 Protecção de Dados na Cloud These are the Clouds These are the clouds about the fallen sun, The majesty that shuts his burning eye: The weak lay hand on what the strong has done, Till that be tumbled that was lifted high And discord follow upon unison, And all things at one common level lie. And therefore, friend, if your great race were run And these things came, so much the more thereby Have you made greatness your companion, Although it be for children that you sigh: These are the clouds about the fallen sun, The majesty that shuts his burning eye. W. B. Yeats (1865-1939) These are the Clouds,The Green Helmet and Other Poems, 1910 Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 3 Protecção de Dados na Cloud Definição de Cloud computing: • A computação em nuvem é um modelo para permitir o acesso ubíquo, conveniente, a pedido e através de uma rede [Internet] um conjunto de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente disponibilizados e fornecidos com um esforço mínimo de gestão ou interacção mínima com o prestador de serviços. Fonte: National Institute of Standards and Technology (NIST), US Department of Commerce, Special Publication 800-145 Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 4 Protecção de Dados na Cloud Modelos de Serviço Cloud: • Infrastructure as a Service (IaaS): Amazon Web Services, Windows Azure, Cisco, HP, IBM, Atos, SmartCloudPT; • Platform as a Service (PaaS): Amazon Web Services (AWS), Google App Engine, Microsoft Windows Azure, Salesforce; • Software as a Service (SaaS): Email, GOOGLE AppStore, Salesforce, Dropbox, QuickBooks, e Microsoft Office 365. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 5 Protecção de Dados na Cloud • • Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 6 Protecção de Dados na Cloud Comunicação da Comissão de Setembro de 2012, “Explorar plenamente o potencial da computação em nuvem na Europa” (COM/2012/0529 final) •Potencial na Europa: despesa directa suplementar de 45 000 MEUR em 2020 e impacto cumulativo global no PIB europeu de 957 000 MEUR e 3,8 milhões de postos de trabalho até 2020 •As preocupações em matéria de protecção de dados foram identificadas como um dos mais sérios obstáculos à adesão à computação em nuvem. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 7 Protecção de Dados na Cloud Alguns Exemplos de “Autoridades” de Protecção de Dados Europeias que se Ocuparam do Tema •Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião 5/2012, sobre Cloud Computing •Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12), CBP (NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD (SchleswigHolstein, D, 07/2012), •International Working Group on Data Protection in Telecommunications (Berlim, 24/04/2012) •Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud Computing. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 8 Protecção de Dados na Cloud Snowden, Junho de 2013 •Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014: – Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos (2013/2188(INI) Relator: Claude Moraes, MEP, UK URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-20140139+0+DOC+XML+V0//PT Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 9 Protecção de Dados na Cloud Algumas Conclusões Sobre as Actividades de Vigilância •As actividades de vigilância em larga escala permitem às agências de informação [americanas] ter acesso a dados pessoais armazenados ou submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de serviços de computação em nuvem com os principais prestadores de serviços de computação em nuvem dos Estados Unidos, •Os serviços de informação norte-americanos tiveram acesso a dados pessoais armazenados ou tratados em servidores localizados no território da UE interceptando as redes internas da Yahoo e da Google; •Não se exclui a possibilidade de os serviços de informação terem tido acesso às informações armazenadas em serviços de computação em nuvem pelas autoridades públicas ou empresas e instituições dos Estados-Membros. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 10 Protecção de Dados na Cloud • Relatório da Information Technology and Innovation Foundation, Washington, 2013 – • As revelações sobre as actividades de espionagem irão custar à indústria americana de cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre 2014 e 2016 Inquérito 3/2014, NTT Communications (algumas conclusões “interessadas”): – Almost nine in ten (88 percent) ICT decision-makers are changing their cloud buying behaviour, with over one in three (38 percent) amending their procurement conditions for cloud providers; – Only 5 percent of respondents believe location does not matter; – Around six in ten (62 percent) of those not currently using cloud feel the revelations have prevented them from moving their ICT into the cloud; – ICT decision-makers now prefer buying a cloud service which is located in their own region, especially EU respondents (97 percent) and US respondents (92 percent). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 11 Protecção de Dados na Cloud Protecção de Dados fora do Quadro das Negociações da Parceria Transatlântica para o Comércio e Investimento: “Including data protection in the trade talks is like opening Pandora’s box. The EU is not ready to lower its own standards . . . That is why the free trade agreement negotiations are not going to include privacy standards.” Viviane Reding, Financial Times, Novembro de 2013 •Comunicação da Comissão ao Parlamento Europeu e ao Conselho “Rebuilding Trust in EU-US Data Flows”, 27.11.2013 – Ad hoc EU-US Working Group on Data Protection – US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de acordo que facilite transferências de dados no quadro da cooperação judicial e policial no dominio criminal, assegurando um elevado nível de protecção para os cidadãos europeus e americanos – negociações a concluir no Verão de 2014. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 12 Protecção de Dados na Cloud Algumas Questões Jurídicas Fundamentais •Caracterização jurídica do prestador de serviços cloud – Responsável pelo tratamento: pessoa que “individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”; – Subcontratante: pessoa que “trate os dados pessoais por conta do responsável pelo tratamento”; – Distinção fundamental para alocação correcta de responsabilidade e estruturação do modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012) – Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu cumprimento; contrato escrito;, vinculação; medidas de segurança; – Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 13 Protecção de Dados na Cloud Algumas Questões Fundamentais •Gratuitidade dos Serviços v onerosidade; •Portabilidade; •Segurança e Integridade; •Localização dos dados e acórdão Digital Rights Ireland (Acórdão TJUE, 4/2014). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 14 Protecção de Dados na Cloud • Transferências Internacionais de Dados – Exclusão de BCRs - Binding Corporate Rules for Processors, WP 29, 12/2012 (CNPD?) – Contratos ad hoc – Safe harbour – A transferência internacional obtém aprovação automática se efectuada ao abrigo de cláusulas standard aprovadas pela Comissão Europeia (cláusulas Standard Responsável-Subcontratante, de 2010) – Vazio de soluções adequadas nas transmissões Subcontratante-Sub-subcontratante, limitações de soluções propostas, exigindo outorga do responsável em cada subcontratação; – WP29, Working document 01/2014 on Draft Ad hoc contractual clauses “EU data processor to non-EU Departamento | Department Sociedade Rebelo de Sousa sub-processor “ & Advogados Associados,RL EU + EEE Empresa Prestador de Serviços Cloud Subcontratante Sub-subcontratante em país terceiro Luís Neto Galvão Telecomunicações 15 Protecção de Dados na Cloud Afloramento Sobre a Proposta de Regulamento de Protecção de Dados •Regime de responsabilização dos subcontratantes – obrigações que decorrem do regulamento; •Portabilidade; •Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a clientes europeus; •Deveres de notificação em caso de violação de privacidade segurança e integridade. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 16 Cloud Computing – Protecção de Dados Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing •Lançado pela Comissão Europeia em Outubro de 2013, após processo de selecção ocorrido no Verão de 2013; •Tem a missão de redigir cláusulas seguras e equitativas para os contratos de computação em nuvem, com base num instrumento opcional; •O objectivo é identificar as boas práticas utilizadas para responder às preocupações dos consumidores e das pequenas empresas, que frequentemente se mostram relutantes em comprar serviços de computação em nuvem porque os contratos são pouco claros. URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 17 Cloud Computing – Protecção de Dados nec temere nec timide Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 18 Protecção de Dados Pessoais na Cloud Obrigado | Thank you. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 19 LISBOA R. Dom Francisco Manuel de Melo, nº21, 1070-085 T. +351 21 313 2000 | F. +351 21 313 2001 FUNCHAL Av. Zarco, nº2, 2º, 9000-069 T. +351 291 20 2260 | F. +351 291 20 2261 PORTO (*) R. Tenente Valadim, nº215, 4100-479 T. +351 22 543 2610 | F. +351 22 543 2611
Documentos relacionados
Luis Neto Galvao (Protecção de Dados na Cloud).
(NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos inter...
Leia mais