A Protecção de Dados na Cloud - Conselho Distrital de Lisboa

A Protecção de Dados na Cloud
Luís Neto Galvão, Advogado, Sócio da SRS Advogados
27.05 2014
Protecção de Dados na Cloud
Aquela Nuvem
- É tão bom ser nuvem,
ter um corpo leve,
e passar, passar.
- Leva-me contigo.
Quero ver Granada.
Quero ver o mar.
(…)
Eugénio de Andrade (1923-2005),
Aquela Nuvem e Outras (1986)
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
2
Protecção de Dados na Cloud
These are the Clouds
These are the clouds about the fallen sun,
The majesty that shuts his burning eye:
The weak lay hand on what the strong has done,
Till that be tumbled that was lifted high
And discord follow upon unison,
And all things at one common level lie.
And therefore, friend, if your great race were run
And these things came, so much the more thereby
Have you made greatness your companion,
Although it be for children that you sigh:
These are the clouds about the fallen sun,
The majesty that shuts his burning eye.
W. B. Yeats (1865-1939)
These are the Clouds,The Green Helmet and Other Poems,
1910
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
3
Protecção de Dados na Cloud
Definição de Cloud computing:
• A computação em nuvem é um modelo para permitir o acesso ubíquo,
conveniente, a pedido e através de uma rede [Internet] um conjunto de recursos
computacionais configuráveis (por exemplo, redes, servidores, armazenamento,
aplicações e serviços), que podem ser rapidamente disponibilizados e
fornecidos com um esforço mínimo de gestão ou interacção mínima com o
prestador de serviços.
Fonte: National Institute of Standards and Technology (NIST), US Department of Commerce, Special
Publication 800-145
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
4
Protecção de Dados na Cloud
Modelos de Serviço Cloud:
•
Infrastructure as a Service (IaaS): Amazon Web Services, Windows
Azure, Cisco, HP, IBM, Atos, SmartCloudPT;
•
Platform as a Service (PaaS): Amazon Web Services (AWS),
Google App Engine, Microsoft Windows Azure, Salesforce;
•
Software as a Service (SaaS): Email, GOOGLE AppStore,
Salesforce, Dropbox, QuickBooks, e Microsoft Office 365.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
5
Protecção de Dados na Cloud
•
•
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
6
Protecção de Dados na Cloud
Comunicação da Comissão de Setembro de 2012, “Explorar
plenamente o potencial da computação em nuvem na Europa”
(COM/2012/0529 final)
•Potencial na Europa: despesa directa suplementar de 45 000
MEUR em 2020 e impacto cumulativo global no PIB europeu de
957 000 MEUR e 3,8 milhões de postos de trabalho até 2020
•As preocupações em matéria de protecção de dados foram
identificadas como um dos mais sérios obstáculos à adesão à
computação em nuvem.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
7
Protecção de Dados na Cloud
Alguns Exemplos de “Autoridades” de Protecção de Dados Europeias
que se Ocuparam do Tema
•Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião
5/2012, sobre Cloud Computing
•Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data
Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12), CBP
(NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD (SchleswigHolstein, D, 07/2012),
•International Working Group on Data Protection in Telecommunications
(Berlim, 24/04/2012)
•Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud
Computing.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
8
Protecção de Dados na Cloud
Snowden, Junho de 2013
•Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014:
–
Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA
(NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto
nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no
domínio da justiça e dos assuntos internos (2013/2188(INI)
Relator: Claude Moraes, MEP, UK
URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-20140139+0+DOC+XML+V0//PT
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
9
Protecção de Dados na Cloud
Algumas Conclusões Sobre as Actividades de Vigilância
•As actividades de vigilância em larga escala permitem às agências de
informação [americanas] ter acesso a dados pessoais armazenados ou
submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de
serviços de computação em nuvem com os principais prestadores de serviços de
computação em nuvem dos Estados Unidos,
•Os serviços de informação norte-americanos tiveram acesso a dados pessoais
armazenados ou tratados em servidores localizados no território da UE
interceptando as redes internas da Yahoo e da Google;
•Não se exclui a possibilidade de os serviços de informação terem tido acesso às
informações armazenadas em serviços de computação em nuvem pelas
autoridades públicas ou empresas e instituições dos Estados-Membros.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
10
Protecção de Dados na Cloud
•
Relatório da Information Technology and Innovation Foundation,
Washington, 2013
–
•
As revelações sobre as actividades de espionagem irão custar à indústria americana de
cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre
2014 e 2016
Inquérito 3/2014, NTT Communications (algumas conclusões
“interessadas”):
–
Almost nine in ten (88 percent) ICT decision-makers are changing their cloud buying
behaviour, with over one in three (38 percent) amending their procurement conditions for
cloud providers;
–
Only 5 percent of respondents believe location does not matter;
–
Around six in ten (62 percent) of those not currently using cloud feel the revelations
have prevented them from moving their ICT into the cloud;
–
ICT decision-makers now prefer buying a cloud service which is located in their own
region, especially EU respondents (97 percent) and US respondents (92 percent).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
11
Protecção de Dados na Cloud
Protecção de Dados fora do Quadro das Negociações da Parceria
Transatlântica para o Comércio e Investimento:
“Including data protection in the trade talks is like opening Pandora’s box. The EU
is not ready to lower its own standards . . . That is why the free trade agreement
negotiations are not going to include privacy standards.”
Viviane Reding, Financial Times, Novembro de 2013
•Comunicação da Comissão ao Parlamento Europeu e ao Conselho “Rebuilding
Trust in EU-US Data Flows”, 27.11.2013
–
Ad hoc EU-US Working Group on Data Protection
–
US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de
acordo que facilite transferências de dados no quadro da cooperação judicial e policial
no dominio criminal, assegurando um elevado nível de protecção para os cidadãos
europeus e americanos – negociações a concluir no Verão de 2014.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
12
Protecção de Dados na Cloud
Algumas Questões Jurídicas Fundamentais
•Caracterização jurídica do prestador de serviços cloud
–
Responsável pelo tratamento: pessoa que “individualmente ou em conjunto com outrem,
determine as finalidades e os meios de tratamento dos dados pessoais”;
–
Subcontratante: pessoa que “trate os dados pessoais por conta do responsável pelo
tratamento”;
–
Distinção fundamental para alocação correcta de responsabilidade e estruturação do
modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012)
–
Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto
a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu
cumprimento; contrato escrito;, vinculação; medidas de segurança;
–
Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
13
Protecção de Dados na Cloud
Algumas Questões Fundamentais
•Gratuitidade dos Serviços v onerosidade;
•Portabilidade;
•Segurança e Integridade;
•Localização dos dados e acórdão Digital Rights
Ireland (Acórdão TJUE, 4/2014).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
14
Protecção de Dados na Cloud
•
Transferências Internacionais de Dados
–
Exclusão de BCRs - Binding Corporate Rules for
Processors, WP 29, 12/2012 (CNPD?)
–
Contratos ad hoc
–
Safe harbour
–
A transferência internacional obtém aprovação
automática se efectuada ao abrigo de cláusulas
standard aprovadas pela Comissão Europeia
(cláusulas Standard Responsável-Subcontratante, de
2010)
–
Vazio de soluções adequadas nas transmissões
Subcontratante-Sub-subcontratante, limitações de
soluções propostas, exigindo outorga do responsável
em cada subcontratação;
–
WP29, Working document 01/2014 on Draft Ad hoc
contractual clauses “EU data processor to non-EU
Departamento | Department
Sociedade Rebelo
de Sousa
sub-processor
“
& Advogados Associados,RL
EU + EEE
Empresa
Prestador de
Serviços Cloud
Subcontratante
Sub-subcontratante
em país terceiro
Luís Neto Galvão
Telecomunicações
15
Protecção de Dados na Cloud
Afloramento Sobre a Proposta de Regulamento de Protecção
de Dados
•Regime de responsabilização dos subcontratantes – obrigações
que decorrem do regulamento;
•Portabilidade;
•Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a
clientes europeus;
•Deveres de notificação em caso de violação de privacidade segurança e integridade.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
16
Cloud Computing – Protecção de Dados
Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing
•Lançado pela Comissão Europeia em Outubro de 2013, após processo de
selecção ocorrido no Verão de 2013;
•Tem a missão de redigir cláusulas seguras e equitativas para os contratos de
computação em nuvem, com base num instrumento opcional;
•O objectivo é identificar as boas práticas utilizadas para responder às
preocupações dos consumidores e das pequenas empresas, que
frequentemente se mostram relutantes em comprar serviços de computação
em nuvem porque os contratos são pouco claros.
URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
17
Cloud Computing – Protecção de Dados
nec temere nec timide
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
18
Protecção de Dados Pessoais na Cloud
Obrigado | Thank you.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
19
LISBOA
R. Dom Francisco Manuel de Melo, nº21,
1070-085
T. +351 21 313 2000 | F. +351 21 313 2001
FUNCHAL
Av. Zarco, nº2, 2º,
9000-069
T. +351 291 20 2260 | F. +351 291 20 2261
PORTO (*)
R. Tenente Valadim, nº215,
4100-479
T. +351 22 543 2610 | F. +351 22 543 2611