Luis Neto Galvao (Protecção de Dados na Cloud).
Transcrição
Luis Neto Galvao (Protecção de Dados na Cloud).
DIREITO DAS COMUNICAÇÕES A Protecção de Dados na Cloud Luís Neto Galvão, Advogado, Sócio da SRS Advogados 22.10 2014 Protecção de Dados na Cloud Definição de Cloud computing: • A computação em nuvem é um modelo para permitir o acesso ubíquo, conveniente, a pedido e através de uma rede [Internet] um conjunto de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente disponibilizados e fornecidos com um esforço mínimo de gestão ou interacção mínima com o prestador de serviços. Fonte: National Institute of Standards and Technology (NIST), US Department of Commerce, Special Publication 800-145 Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 4 Protecção de Dados na Cloud Modelos de Serviço Cloud: • Infrastructure as a Service (IaaS): Amazon Web Services, Windows Azure, Cisco, HP, IBM, Atos, SmartCloudPT; • Platform as a Service (PaaS): Amazon Web Services (AWS), Google App Engine, Microsoft Windows Azure, Salesforce; • Software as a Service (SaaS): Email, GOOGLE AppStore, Salesforce, Dropbox, QuickBooks, e Microsoft Office 365. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 5 Protecção de Dados na Cloud • • Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 6 Protecção de Dados na Cloud Comunicação da Comissão de Setembro de 2012, “Explorar plenamente o potencial da computação em nuvem na Europa” (COM/2012/0529 final) • Potencial na Europa: despesa directa suplementar de 45 000 MEUR em 2020 e impacto cumulativo global no PIB europeu de 957 000 MEUR e 3,8 milhões de postos de trabalho até 2020 • As preocupações em matéria de protecção de dados foram identificadas como um dos mais sérios obstáculos à adesão à computação em nuvem. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 7 Protecção de Dados na Cloud Alguns Exemplos de “Autoridades” de Protecção de Dados Europeias que se Ocuparam do Tema • Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião 5/2012, sobre Cloud Computing • Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12), CBP (NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD (Schleswig-Holstein, D, 07/2012), • International Working Group on Data Protection in Telecommunications (Berlim, 24/04/2012) • Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud Computing. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 8 Protecção de Dados na Cloud Snowden, Junho de 2013 • Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014: – Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos (2013/2188(INI) Relator: Claude Moraes, MEP, UK URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-20140139+0+DOC+XML+V0//PT Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 9 Protecção de Dados na Cloud Algumas Conclusões Sobre as Actividades de Vigilância • As actividades de vigilância em larga escala permitem às agências de informação [americanas] ter acesso a dados pessoais armazenados ou submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de serviços de computação em nuvem com os principais prestadores de serviços de computação em nuvem dos Estados Unidos, • Os serviços de informação norte-americanos tiveram acesso a dados pessoais armazenados ou tratados em servidores localizados no território da UE interceptando as redes internas da Yahoo e da Google; • Não se exclui a possibilidade de os serviços de informação terem tido acesso às informações armazenadas em serviços de computação em nuvem pelas autoridades públicas ou empresas e instituições dos Estados-Membros. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 10 Protecção de Dados na Cloud • Relatório da Information Technology and Innovation Foundation, Washington, 2013 – • As revelações sobre as actividades de espionagem irão custar à indústria americana de cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre 2014 e 2016 Inquérito 3/2014, NTT Communications (algumas conclusões “interessadas”): – Almost nine in ten (88 percent) ICT decision-makers are changing their cloud buying behaviour, with over one in three (38 percent) amending their procurement conditions for cloud providers; – Only 5 percent of respondents believe location does not matter; – Around six in ten (62 percent) of those not currently using cloud feel the revelations have prevented them from moving their ICT into the cloud; – ICT decision-makers now prefer buying a cloud service which is located in their own region, especially EU respondents (97 percent) and US respondents (92 percent). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 11 Protecção de Dados na Cloud Protecção de Dados fora do Quadro das Negociações da Parceria Transatlântica para o Comércio e Investimento: “Including data protection in the trade talks is like opening Pandora’s box. The EU is not ready to lower its own standards . . . That is why the free trade agreement negotiations are not going to include privacy standards.” Viviane Reding, Financial Times, Novembro de 2013 • Comunicação da Comissão ao Parlamento Europeu e ao Conselho “Rebuilding Trust in EU-US Data Flows”, 27.11.2013 – Ad hoc EU-US Working Group on Data Protection – US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de acordo que facilite transferências de dados no quadro da cooperação judicial e policial no dominio criminal, assegurando um elevado nível de protecção para os cidadãos europeus e americanos – negociações a concluir no Verão de 2014. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 12 Protecção de Dados na Cloud Algumas Questões Jurídicas Fundamentais • Direito aplicável e o Acórdão TJUE Google 5/2014 • Caracterização jurídica do prestador de serviços cloud – Responsável pelo tratamento: pessoa que “individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”; – Subcontratante: pessoa que “trate os dados pessoais por conta do responsável pelo tratamento”; – Distinção fundamental para alocação correcta de responsabilidade e estruturação do modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012); – Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu cumprimento; contrato escrito;, vinculação; medidas de segurança; – Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 13 Protecção de Dados na Cloud Algumas Questões Jurídicas Fundamentais • Direito aplicável e o Acórdão TJUE Google 5/2014 • Caracterização jurídica do prestador de serviços cloud • As empresas que contratam os serviços cloud serão normalmente consideradas responsáveis pelo tratamento; • Os prestadores de serviços cloud serão normalmente subcontratantes, com obrigações de natureza contratual, nomeadamente em matéria de segurança; • O estatuto das partes é um tema contratual, mas o mesmo pode ser alterado pela CNPD/Tribunais, que podem requalificar os subcontratantes como responsáveis pelo tratamento (ver caso SWIFT e a Opinião 1/2010 do WP 29). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 13 Protecção de Dados na Cloud Algumas Questões Fundamentais • Gratuitidade dos Serviços v onerosidade; • Portabilidade; • Segurança e Integridade; • Localização dos dados e acórdão Digital Rights Ireland (Acórdão TJUE, 4/2014). Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 14 Protecção de Dados na Cloud • Transferências Internacionais de Dados – Exclusão de BCRs - Binding Corporate Rules for Processors, WP 29, 12/2012 (CNPD?) – Contratos ad hoc; – Safe Harbour; – Cláusulas Standard Responsável-Subcontratante, de 2010: transferência obtém aprovação automática se efectuada ao abrigo de cláusulas standard aprovadas pela Comissão Europeia; – Vazio de soluções adequadas nas transmissões Subcontratante-Sub-subcontratante, exigindo outorga do responsável em cada subcontratação; – WP29, Working document 01/2014 on Draft Ad hoc contractual clauses “EU data processor to non-EU sub-processor”; Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department EU + EEE Empresa Prestador de Serviços Cloud Subcontratante Sub-subcontratante em país terceiro Luís Neto Galvão Telecomunicações 15 Protecção de Dados na Cloud Afloramento Sobre a Proposta de Regulamento de Protecção de Dados • Regime de responsabilização dos subcontratantes – obrigações que decorrem do regulamento; • Portabilidade; • Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a clientes europeus; • Deveres de notificação em caso de violação de privacidade segurança e integridade. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 16 Protecção de Dados na Cloud • A Estratégia Cloud da Comissão, de Setembro de 2012, inclui três planos de acção: – – – – – Cláusulas Contratuais Seguras e Equitativas, de modo a incrementar a confiança das PTE e pessoas singulares, além do que rege a proposta da Comissão relativa a um Regulamento Comum Europeu no âmbito do Direito dos Contratos; O objectivo é alcançar cláusulas contratuais modelo e que incluam matérias não cobertas pela proposta de regulamento, nomeadamente: Preservação dos dados, após cessação do contrato; Divulgação e integridade de dados Localização e transferência de dados Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 16 Protecção de Dados na Cloud • Cortar caminho entre a selva de normas de modo a que os utilizadores possam beneficiar de interoperabilidade, portabilidade dos dados e reversibilidade – trabalho a desenvolver com o apoio da ENISA e de outros organismos relevantes de modo a conseguir-se esquemas voluntários de certificação em 2014 • Estabelecer uma European Cloud Partnership, reunindo a industria e o sector publico, de modo a assegurar requisitos comuns em matéria de requisitos de contratação Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 16 Protecção de Dados na Cloud Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 16 Cloud Computing – Protecção de Dados Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing • Lançado pela Comissão Europeia em Outubro de 2013, após processo de selecção ocorrido no Verão de 2013; • Tem a missão de redigir cláusulas seguras e equitativas para os contratos de computação em nuvem, com base num instrumento opcional; • O objectivo é identificar as boas práticas utilizadas para responder às preocupações dos consumidores e das pequenas empresas, que frequentemente se mostram relutantes em comprar serviços de computação em nuvem porque os contratos são pouco claros. URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 17 Cloud Computing – Protecção de Dados Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing • Lançado pela Comissão Europeia em Outubro de 2013, após processo de selecção ocorrido no Verão de 2013; • Tem a missão de redigir cláusulas seguras e equitativas para os contratos de computação em nuvem, com base num instrumento opcional; • O objectivo é identificar as boas práticas utilizadas para responder às preocupações dos consumidores e das pequenas empresas, que frequentemente se mostram relutantes em comprar serviços de computação em nuvem porque os contratos são pouco claros. URL: http://ec.europa.eu/justice/contract/cloud-computing/expertgroup/index_en.htm Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 17 Cloud Computing – Protecção de Dados nec temere nec timide Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 18 Protecção de Dados Pessoais na Cloud Obrigado | Thank you. Sociedade Rebelo de Sousa & Advogados Associados,RL Departamento | Department Luís Neto Galvão Telecomunicações 19 LISBOA R. Dom Francisco Manuel de Melo, nº21, 1070-085 T. +351 21 313 2000 | F. +351 21 313 2001 FUNCHAL Av. Zarco, nº2, 2º, 9000-069 T. +351 291 20 2260 | F. +351 291 20 2261 PORTO (*) R. Tenente Valadim, nº215, 4100-479 T. +351 22 543 2610 | F. +351 22 543 2611
Documentos relacionados
A Protecção de Dados na Cloud - Conselho Distrital de Lisboa
computação em nuvem dos Estados Unidos, •Os serviços de informação norte-americanos tiveram acesso a dados pessoais armazenados ou tratados em servidores localizados no território da UE interceptan...
Leia mais