Luis Neto Galvao (Protecção de Dados na Cloud).

DIREITO DAS COMUNICAÇÕES
A Protecção de Dados na Cloud
Luís Neto Galvão, Advogado, Sócio da SRS Advogados
22.10 2014
Protecção de Dados na Cloud
Definição de Cloud computing:
•
A computação em nuvem é um modelo para permitir o acesso ubíquo,
conveniente, a pedido e através de uma rede [Internet] um conjunto de
recursos computacionais configuráveis (por exemplo, redes, servidores,
armazenamento, aplicações e serviços), que podem ser rapidamente
disponibilizados e fornecidos com um esforço mínimo de gestão ou
interacção mínima com o prestador de serviços.
Fonte: National Institute of Standards and Technology (NIST), US Department of Commerce, Special
Publication 800-145
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
4
Protecção de Dados na Cloud
Modelos de Serviço Cloud:
•
Infrastructure as a Service (IaaS): Amazon Web Services, Windows
Azure, Cisco, HP, IBM, Atos, SmartCloudPT;
•
Platform as a Service (PaaS): Amazon Web Services (AWS),
Google App Engine, Microsoft Windows Azure, Salesforce;
•
Software as a Service (SaaS): Email, GOOGLE AppStore,
Salesforce, Dropbox, QuickBooks, e Microsoft Office 365.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
5
Protecção de Dados na Cloud
•
•
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
6
Protecção de Dados na Cloud
Comunicação da Comissão de Setembro de 2012, “Explorar
plenamente o potencial da computação em nuvem na Europa”
(COM/2012/0529 final)
• Potencial na Europa: despesa directa suplementar de 45 000
MEUR em 2020 e impacto cumulativo global no PIB europeu
de 957 000 MEUR e 3,8 milhões de postos de trabalho até
2020
• As preocupações em matéria de protecção de dados foram
identificadas como um dos mais sérios obstáculos à adesão à
computação em nuvem.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
7
Protecção de Dados na Cloud
Alguns Exemplos de “Autoridades” de Protecção de Dados Europeias
que se Ocuparam do Tema
•
Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião
5/2012, sobre Cloud Computing
•
Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data
Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12),
CBP (NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD
(Schleswig-Holstein, D, 07/2012),
•
International Working Group on Data Protection in Telecommunications
(Berlim, 24/04/2012)
•
Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud
Computing.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
8
Protecção de Dados na Cloud
Snowden, Junho de 2013
•
Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014:
–
Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA
(NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto
nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no
domínio da justiça e dos assuntos internos (2013/2188(INI)
Relator: Claude Moraes, MEP, UK
URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-20140139+0+DOC+XML+V0//PT
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
9
Protecção de Dados na Cloud
Algumas Conclusões Sobre as Actividades de Vigilância
•
As actividades de vigilância em larga escala permitem às agências de
informação [americanas] ter acesso a dados pessoais armazenados ou
submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de
serviços de computação em nuvem com os principais prestadores de serviços
de computação em nuvem dos Estados Unidos,
•
Os serviços de informação norte-americanos tiveram acesso a dados
pessoais armazenados ou tratados em servidores localizados no território da
UE interceptando as redes internas da Yahoo e da Google;
•
Não se exclui a possibilidade de os serviços de informação terem tido acesso
às informações armazenadas em serviços de computação em nuvem pelas
autoridades públicas ou empresas e instituições dos Estados-Membros.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
10
Protecção de Dados na Cloud
•
Relatório da Information Technology and Innovation Foundation,
Washington, 2013
–
•
As revelações sobre as actividades de espionagem irão custar à indústria americana de
cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre
2014 e 2016
Inquérito 3/2014, NTT Communications (algumas conclusões
“interessadas”):
–
Almost nine in ten (88 percent) ICT decision-makers are changing their cloud buying
behaviour, with over one in three (38 percent) amending their procurement conditions for
cloud providers;
–
Only 5 percent of respondents believe location does not matter;
–
Around six in ten (62 percent) of those not currently using cloud feel the revelations
have prevented them from moving their ICT into the cloud;
–
ICT decision-makers now prefer buying a cloud service which is located in their own
region, especially EU respondents (97 percent) and US respondents (92 percent).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
11
Protecção de Dados na Cloud
Protecção de Dados fora do Quadro das Negociações da Parceria
Transatlântica para o Comércio e Investimento:
“Including data protection in the trade talks is like opening Pandora’s box. The EU
is not ready to lower its own standards . . . That is why the free trade agreement
negotiations are not going to include privacy standards.”
Viviane Reding, Financial Times, Novembro de 2013
•
Comunicação da Comissão ao Parlamento Europeu e ao Conselho “Rebuilding
Trust in EU-US Data Flows”, 27.11.2013
–
Ad hoc EU-US Working Group on Data Protection
–
US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de
acordo que facilite transferências de dados no quadro da cooperação judicial e policial
no dominio criminal, assegurando um elevado nível de protecção para os cidadãos
europeus e americanos – negociações a concluir no Verão de 2014.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
12
Protecção de Dados na Cloud
Algumas Questões Jurídicas Fundamentais
•
Direito aplicável e o Acórdão TJUE Google 5/2014
•
Caracterização jurídica do prestador de serviços cloud
–
Responsável pelo tratamento: pessoa que “individualmente ou em conjunto com outrem,
determine as finalidades e os meios de tratamento dos dados pessoais”;
–
Subcontratante: pessoa que “trate os dados pessoais por conta do responsável pelo
tratamento”;
–
Distinção fundamental para alocação correcta de responsabilidade e estruturação do
modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012);
–
Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto
a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu
cumprimento; contrato escrito;, vinculação; medidas de segurança;
–
Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
13
Protecção de Dados na Cloud
Algumas Questões Jurídicas Fundamentais
•
Direito aplicável e o Acórdão TJUE Google 5/2014
•
Caracterização jurídica do prestador de serviços cloud
•
As empresas que contratam os serviços cloud serão normalmente consideradas
responsáveis pelo tratamento;
•
Os prestadores de serviços cloud serão normalmente subcontratantes, com
obrigações de natureza contratual, nomeadamente em matéria de segurança;
•
O estatuto das partes é um tema contratual, mas o mesmo pode ser alterado pela
CNPD/Tribunais, que podem requalificar os subcontratantes como responsáveis pelo
tratamento (ver caso SWIFT e a Opinião 1/2010 do WP 29).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
13
Protecção de Dados na Cloud
Algumas Questões Fundamentais
•
Gratuitidade dos Serviços v onerosidade;
•
Portabilidade;
•
Segurança e Integridade;
•
Localização dos dados e acórdão Digital Rights
Ireland (Acórdão TJUE, 4/2014).
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
14
Protecção de Dados na Cloud
•
Transferências Internacionais de Dados
–
Exclusão de BCRs - Binding Corporate Rules for
Processors, WP 29, 12/2012 (CNPD?)
–
Contratos ad hoc;
–
Safe Harbour;
–
Cláusulas Standard Responsável-Subcontratante, de
2010: transferência obtém aprovação automática se
efectuada ao abrigo de cláusulas standard aprovadas
pela Comissão Europeia;
–
Vazio de soluções adequadas nas transmissões
Subcontratante-Sub-subcontratante, exigindo outorga
do responsável em cada subcontratação;
–
WP29, Working document 01/2014 on Draft Ad hoc
contractual clauses “EU data processor to non-EU
sub-processor”;
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
EU + EEE
Empresa
Prestador de
Serviços Cloud
Subcontratante
Sub-subcontratante
em país terceiro
Luís Neto Galvão
Telecomunicações
15
Protecção de Dados na Cloud
Afloramento Sobre a Proposta de Regulamento de Protecção
de Dados
•
Regime de responsabilização dos subcontratantes – obrigações
que decorrem do regulamento;
•
Portabilidade;
•
Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a
clientes europeus;
•
Deveres de notificação em caso de violação de privacidade segurança e integridade.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
16
Protecção de Dados na Cloud
•
A Estratégia Cloud da Comissão, de Setembro de 2012, inclui
três planos de acção:
–
–
–
–
–
Cláusulas Contratuais Seguras e Equitativas, de modo a incrementar a
confiança das PTE e pessoas singulares, além do que rege a proposta da
Comissão relativa a um Regulamento Comum Europeu no âmbito do Direito
dos Contratos;
O objectivo é alcançar cláusulas contratuais modelo e que incluam matérias
não cobertas pela proposta de regulamento, nomeadamente:
Preservação dos dados, após cessação do contrato;
Divulgação e integridade de dados
Localização e transferência de dados
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
16
Protecção de Dados na Cloud
•
Cortar caminho entre a selva de normas de modo a que os
utilizadores possam beneficiar de interoperabilidade,
portabilidade dos dados e reversibilidade – trabalho a
desenvolver com o apoio da ENISA e de outros organismos
relevantes de modo a conseguir-se esquemas voluntários de
certificação em 2014
•
Estabelecer uma European Cloud Partnership, reunindo a
industria e o sector publico, de modo a assegurar requisitos
comuns em matéria de requisitos de contratação
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
16
Protecção de Dados na Cloud
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
16
Cloud Computing – Protecção de Dados
Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing
•
Lançado pela Comissão Europeia em Outubro de 2013, após processo de
selecção ocorrido no Verão de 2013;
•
Tem a missão de redigir cláusulas seguras e equitativas para os contratos
de computação em nuvem, com base num instrumento opcional;
•
O objectivo é identificar as boas práticas utilizadas para responder às
preocupações dos consumidores e das pequenas empresas, que
frequentemente se mostram relutantes em comprar serviços de
computação em nuvem porque os contratos são pouco claros.
URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
17
Cloud Computing – Protecção de Dados
Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing
•
Lançado pela Comissão Europeia em Outubro de 2013, após processo de
selecção ocorrido no Verão de 2013;
•
Tem a missão de redigir cláusulas seguras e equitativas para os contratos
de computação em nuvem, com base num instrumento opcional;
•
O objectivo é identificar as boas práticas utilizadas para responder às
preocupações dos consumidores e das pequenas empresas, que
frequentemente se mostram relutantes em comprar serviços de
computação em nuvem porque os contratos são pouco claros.
URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
17
Cloud Computing – Protecção de Dados
nec temere nec timide
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
18
Protecção de Dados Pessoais na Cloud
Obrigado | Thank you.
Sociedade Rebelo de Sousa
& Advogados Associados,RL
Departamento | Department
Luís Neto Galvão
Telecomunicações
19
LISBOA
R. Dom Francisco Manuel de Melo, nº21,
1070-085
T. +351 21 313 2000 | F. +351 21 313 2001
FUNCHAL
Av. Zarco, nº2, 2º,
9000-069
T. +351 291 20 2260 | F. +351 291 20 2261
PORTO (*)
R. Tenente Valadim, nº215,
4100-479
T. +351 22 543 2610 | F. +351 22 543 2611