Cloud computing, transferência internacional de dados pessoais e os desafios da LGPD

[:br]

Com o avanço da tecnologia e o alto volume de dados trafegando por meio da internet, as empresas sentiram a necessidade de atualizar a maneira como armazenam e gerenciam seus dados.

Atualmente, grande parte das empresas utiliza os serviços de computação em nuvem ou cloud computing para otimizar seus negócios. Muitas vezes estes serviços são prestados fora do território nacional e, com a proximidade da entrada em vigor da lei 13.709/2018 (LGPD), surge a dúvida sobre a necessidade de adequar estes serviços aos requisitos para transferência internacional de dados pessoais.

Cloud Computing

O termo cloud computing foi utilizado pela primeira vez em 1997 pelo professor de sistemas de informação Ramnath Chellappa em uma palestra acadêmica[1].

Nos anos 2000, este tipo de serviço começou a se popularizar e ganhar força, passando a ser ofertado comercialmente por gigantes da tecnologia, como Amazon, Google e Microsoft.

Em 2011 o Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology – NIST) publicou uma recomendação definindo o termo cloud computing, estabelecendo suas principais características, modelos de serviço e modelos de desenvolvimento.  

“A computação em nuvem permiti o acesso, por uma rede compartilhada on demand, ubíqua e conveniente, a um conjunto compartilhado de recursos de computação (tais como redes, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados e liberados com o mínimo esforço gerencial ou interação do prestador de serviços.”[2] (tradução livre)

Em outras palavras, a computação em nuvem permite à empresa ter uma maior maleabilidade e eficiência dos recursos disponíveis para sua utilização, sem necessidade de interação com o prestador de serviço e pagando apenas pelos recursos utilizados.

No mesmo documento, o NIST também definiu as cinco principais características do serviço cloud computing:

“Autoatendimento on-demand – Possibilidade de ajustar, unilateralmente e conforme necessário, as capacidades computacionais, tais como tempo de servidor e armazenamento em rede, automaticamente e sem a necessidade de interação com cada prestador de serviço.

Acesso amplo à rede – Os recursos estão disponíveis através da rede e são acessados através de mecanismos padronizados que promovem o uso por diversos dispositivos de diversas plataformas (como smartphones, tablets, laptops ou desktops).

Compartilhamento de recursos – Os recursos de computação do provedor são agrupados para atender a múltiplos consumidores, com recursos físicos e virtuais diferentes atribuídos e redistribuídos dinamicamente, conforme a demanda dos consumidores. Há uma certa independência de localização geográfica, uma vez que o consumidor em geral não controla ou conhece a localização exata dos recursos fornecidos (como armazenamento, processamento, memória e comunicação de rede), mas pode ser capaz de especificar a localização em um nível de abstração mais alto (como país, estado ou datacenter).

Elasticidade rápida – Os recursos podem ser provisionados e liberados elasticamente, em alguns casos automaticamente, para rapidamente aumentar ou diminuir de acordo com a demanda. Para o consumidor, os recursos disponíveis para provisionamento muitas vezes parecem ser ilimitados e podem ser alocados em qualquer quantidade e a qualquer tempo.

Serviço de medição – Os sistemas em nuvem controlam e otimizam automaticamente a utilização de recursos, alavancando uma capacidade de medição em algum nível de abstração adequado ao tipo de serviço (por exemplo, armazenamento, processamento, largura de banda e contas de usuário ativas). O uso de recursos pode ser monitorado, controlado e reportado, proporcionando transparência tanto para o provedor quanto para o consumidor do serviço utilizado.”[3] (Tradução livre. Grifo nosso)

Nota-se que a própria descrição da característica “compartilhamento de recursos”, menciona a noção de independência geográfica da computação em nuvem. Geralmente, a empresa que contrata estes serviços não sabe a localização exata onde os serviços estão sendo prestados e os dados (inclusive pessoais) estão sendo tratados.

Alguns contratos informam o país ou o estado no qual o cloud está situado, mas esta não é uma regra.

Cloud Computing e a Proteção de Dados Pessoais

Diante das recentes leis que tratam sobre proteção de dados pessoais, a localização do cloud passou a ser relevante para os contratantes destes serviços e vem provocando diversos questionamentos.

Isto porque muitos clouds estão situados em países como Estados Unidos, Singapura, China, Índia etc. e nem sempre estes países são considerados seguros para transferência de dado pessoais pelas autoridades de proteção de dados.

No Brasil, a LGPD estabelece uma série de requisitos para a transferência internacional de dados pessoais, dispostos em seu artigo 33.

Como o simples fato de armazenar dados pessoais já é considerado um “tratamento” pela referida lei, entende-se que a transferência de dados pessoais para clouds fora do território nacional implica em uma transferência internacional de dados pessoais.

Importante ressaltar que, por mais que a contratação do cloud tenha ocorrido antes da entrada em vigor da LGPD, os requisitos de seu artigo 33 deverão ser observados após sua entrada em vigor, já que aqueles dados pessoais continuarão sendo tratados.

Contudo, a questão da transferência internacional de dados pessoais deixou vários pontos a serem regulados pela ANPD, como por exemplo a indicação dos países considerados apropriados para a transferência de dados pessoais, aprovação de cláusulas específicas para transferência de dados, cláusulas padrão, normas corporativas globais etc.  

Sem estas definições, as empresas temem que o país no qual o cloud contratado está situado não seja considerado adequado para transferência internacional e que a aplicação das demais alternativas indicadas no art. 33 sejam de difícil aplicação.

Assim, fica evidente a necessidade da rápida regulamentação desse aspecto da LGPD pela ANPD para que as empresas possam considerá-lo na contratação dos serviços de computação em nuvem.

[1] Disponível em https://olhardigital.com.br/noticia/cloud-computing-revolucao-e-evolucao-ela-ainda-e-tendencia/22841. Acesso em 03 de junho de 2020.

[2] Disponível em https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf. Acesso em 03 de junho de 2020.

[3] Disponível em https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf. Acesso em 03 de junho de 2020.

[:]