22/11/12

• "Cloud Computing" e "Proteção de Dados" (1) - Patrícia Peck: "Cloud desafia o modelo jurídico atual" + Cristina de Luca comenta a "proteção de dados"

Olá, WirelessBR e Celld-group!

01.
A leitura de um "post" (transcrito mais abaixo) no blog da jornalista Cristina de Luca chamou minha atenção para o assunto "proteção de dados pessoais".
Procurando algo mais no Google noto que o tema está conectado à "computação em nuvem".

De um artigo no blog Digitalis da advogada Patrícia Peck destaco:
"Cloud computing é um modelo de disponibilização de softwares e de infraestruturas de processamento e armazenamento de dados através de uma rede (internet), também conhecido como “computação em nuvem”. O princípio da nuvem é de virtualização total e de máxima disponibilidade dos dados, onde é irrelevante o local de acesso e o dispositivo utilizado. Ou seja, desafia o modelo jurídico atual ainda baseado em fronteiras físicas."

Do texto de Cristina de Luca recorto:
"Juntos, o Marco Civil e a Lei de Proteção de Dados Pessoais deverão cobrir boa parte das questões levantadas anteriormente, em relação a todo e qualquer banco de dados. Na América Latina, o Brasil é um dos poucos países que ainda não tem uma legislação específica para tratar tema."

É difícil selecionar algumas matérias como ponto de partida para sugestão de um novo debate mas arrisco...  :-)

02.
Não consegui, de imediato, registro do andamento do "Anteprojeto de Lei de Proteção aos Dados Pessoais" citado nas matérias transcritas mais abaixo.
Da web, anoto:
(...) O anteprojeto de lei para proteção de informações pessoais no âmbito digital é uma iniciativa do Ministério da Justiça. A proposta é regular ações nas redes sociais, nos sistemas de empresas, no setor público. O anteprojeto de lei cria o Conselho Nacional de Proteção de Dados Pessoais, órgão autônomo que teria o papel de “elaborar e executar ações da política nacional de proteção de dados pessoais; receber e encaminhar denúncias e sugestões referentes à proteção das informações; e aplicar sanções quando a lei for desrespeitada”. (...)

03.
Via Google encontro uma contribuição, com "recomendações para melhoria" do texto do anteprojeto, assinada por Patrícia Peck e um grupo de advogados.
E também um texto de um "Projeto de Lei de Proteção de Dados Pessoais" do deputado Milton Monti.

Não sei se os dois documentos estão relacionados e estou enviando uma cópia desta mensagem para contato@pppadvogados.com.br como um pedido de ajuda para melhor entender o andamento deste processo.
Antecipadamente agradeço!

04.
Mais abaixo, transcrevo estas matérias, como uma possível ambientação aos temas:

Leia na Fonte: IDG Now! / Blog Digitalis - Direito Digital
[07/11/12]  Cloud desafia o modelo jurídico atual - por Patrícia Peck

Leia na Fonte: Revista Trip
[13/04/11]  Problema do "cloud computing" é falta de regras internacionais sobre os dados - por Ronaldo Lemos

Leia na Fonte: Convergência Digital - Hotsite Cloud Computing
[09/08/12]  Brasil é o único no Mercosul a não ter Lei de proteção de dados pessoais - por Ana Paula Lobo

Leia na Fonte: IDG Now! / Blog Circuito de Luca
[11/10/12]  ICANN decide armazenar mais dados sobre administradores de sites - por Cristina de Luca

Boa leitura!
Um abraço cordial
Helio Rosa
Portal WirelessBRASIL

-------------------------------------------------

Leia na Fonte: IDG Now! / Blog Digitalis - Direito Digital
[07/11/12]   Cloud desafia o modelo jurídico atual - por Patrícia Peck

Patricia Peck é advogada especialista em Direito Digital, sócia fundadora da Patricia Peck Pinheiro Advogados e autora de “Direito Digital”, editado pela Saraiva.

Cloud computing é um modelo de disponibilização de softwares e de infraestruturas de processamento e armazenamento de dados através de uma rede (internet), também conhecido como “computação em nuvem”. O princípio da nuvem é de virtualização total e de máxima disponibilidade dos dados, onde é irrelevante o local de acesso e o dispositivo utilizado. Ou seja, desafia o modelo jurídico atual ainda baseado em fronteiras físicas.

Considerando que a nuvem pressupõe um mundo sem barreiras, mas que apesar de plano e globalizado ainda é extremamente local no sentido da legislação de cada país e da própria soberania dos Estados, do princípio da “territorialidade dos ordenamentos jurídicos”, há elevada preocupação no tocante a segurança da informação e a eventual indisponibilidade do serviço que impeça acesso aos dados, bem como infração a leis específicas de proteção de dados sensíveis ou sigilosos, dependendo do tipo de informação e dos países envolvidos (país do prestador de serviço, país do contratante detentor das informações, país da origem dos dados das pessoas ou empresas).

Por este motivo já há uma oferta de quatro modelos de “nuvem” disponíveis: a) nuvem privada; b) nuvem pública; c) nuvem comunitária; d) nuvem híbrida.

A nuvem privada é de propriedade exclusiva de uma empresa, para uso próprio, que detém seu controle e suporta seus custos de infra-estrutura.
A nuvem pública é a mais conhecida, pelo custo baixíssimo e grande parte dos serviços e aplicações da web estão baseados nela, de caixa postal de email gratuito a redes sociais.
A nuvem comunitária envolve um conjunto de empresas que se conhecem e se reúnem para compartilhar os custos de infra-estrutura. Tem sido bastante comum em alguns mercados ou mesmo em grupo de empresas.
E o último formato, que é o híbrido, faz uso de um ou mais modelos, diferenciando o tipo de nuvem conforme o grau de segurança necessário a aplicar aos dados e às exigências legais relacionadas aos mesmos.

Os benefícios da nuvem são inquestionáveis, independente do formato adotado. Por isso, é tida como a Solução de TI para o Século XXI. De acordo com o estudo do Carbon Disclosure Project, as companhias americanas planejam acelerar a adoção de computação em nuvem de 10% para 69% de seus gastos com TI até 2020, visando reduzir seu consumo de energia, diminuir suas emissões de carbono e seus investimentos em recursos de TI, além de aumentar a eficiência operacional.

Entre todos os países da América Latina, o Brasil é o líder no uso de Cloud Computing, de acordo com o estudo realizado pela consultoria IDC. Cerca de 18% das médias e grandes empresas já utilizam alguma forma de cloud e a expectativa é que em 2013 o número salte de 30% para 35%.

Toda e qualquer empresa que quiser ofertar ou fazer uso de computação em nuvem deve realizar uma análise de riscos técnica-legal, que deve necessariamente envolver o aspecto jurídico do uso do serviço de cloud computing, visto que há que se observar as leis vigentes do país de origem dos dados (não apenas da empresa que os detém, mas dos clientes também) e dos países em que os mesmos serão armazenados ou disponibilizados. Logo, devem ficar bem claros os aspectos e limites de responsabilidade das partes no que tange garantia de acesso, guarda, recuperação e eliminação (descarte) dos dados que ficarão no ambiente de nuvem, bem como a capacidade de suportar um incidente de vazamento de informações ou acesso aos mesmos por autoridade estrangeira.

No caso do mercado financeiro, por exemplo, há aspectos de sigilo bancário que devem ser considerados no uso da nuvem. Logo, pode ser necessário segregar o conteúdo, separando dados que possam ter norma própria, regrando que de algum modo restrinja que estejam colocados em outro país, além de ter que atender orientações para mitigação de riscos operacionais.

Portanto, os principais pontos de preocupação com o cloud computing envolvem especialmente: autenticação forte (controle de acesso) e criptografia de dados na nuvem (segurança). Desta forma, há uma proteção considerável em termos de acesso aos dados. Em seguida vem a questão da disponibilidade dos dados nas pontas, seja do solicitante ou na própria nuvem (hipóteses de apagão digital ou falha de conexão). O que fazer diante da indisponibilidade do serviço? É essencial elaborar um Plano de Continuidade que preveja como ocorrerá backup e eventual redundância dos dados e isso já deve estar previsto no contrato, com definição de nível de serviço (SLA) e penalidades por descumprimento.

É interessante observar que, dependendo da forma como é utilizada, a própria nuvem também pode ser a melhor estratégia para um plano de continuidade de uma empresa que possui armazenagem (storage) próprios e, desse modo, um incidente local não prejudica o acesso aos dados que estão na nuvem.

Deve ser considerado no planejamento de uso do serviço, onde o data center da empresa prestadora dos serviços está instalado e se ela vai fazer uso de outros ambientes compartilhados, atendendo ao máximo do princípio da nuvem, que é a independência de qual é o servidor envolvido? Isso, porque ele pode estar localizado em um país com um sistema legal diverso do sistema jurídico brasileiro.

No Brasil, a Constituição Federal e os demais diplomas legais são genéricos ao tratar de privacidade e intimidade dos dados dos cidadãos e pessoas jurídicas, cabendo ao entendimento doutrinário, jurisprudencial ou alguma lei específica, podemos citar
- Lei n.º 9.507/97 (Habeas Data),
- Lei n.º 8.078/91, arts. 43, 44, 72 e 73 (Código de Defesa do Consumidor),
- Lei 10.406/2002 (Código Civil),
- Lei 9.296/1996 (Lei de Interceptação), além dos artigos prevendo definição de territorialidade, quebra de sigilo ou violação de segredo (arts 5º, 6º. 7º, 153, 154 do Código Penal).

Há ainda o texto do Anteprojeto de Lei de Proteção aos Dados Pessoais que está em discussão e abrange os dados coletados em território nacional ou por empresas reguladas pela legislação brasileira, ou ainda, quando o armazenamento se dê em terras brasilis.

O fato é que a empresa deve respeitar sempre os ditames estabelecidos pela legislação do país daqueles que tiveram seus dados coletados e, também, deve estar de acordo com as disposições do local onde estes serão armazenados ou solicitados (utilizados). No caso do Brasil, estamos atrasados no aspecto legislativo sobre a matéria, outros países como Argentina (Lei 25.326/2000, Decreto 1528/2001), Chile (Lei 25.326/2000, Decreto 1528/2001), Uruguai (Código Penal Uruguaio, Lei 17.838/2004, Lei 17.930/2005, Diretivas de Governo e controle tributário, Lei 18.331/2008, Proteção de dados e Habeas Data), estão bem mais adiantados.

No caso da Argentina, há um órgão específico para defender os direitos dos cidadãos que sofrerem alguma violação de seus dados e a previsão de exigência legal no tocante ao uso de técnica adequada para garantir a segurança e confidencialidade dos mesmos, sendo obrigação daquele que mantém o banco de dados somente divulgar informações mediante ordem judicial com o respectivo fim. Cabe, ainda, frisar, que é permitido apenas o envio de informações para outros países, órgãos transnacionais ou internacionais caso estes possuam proteção de dados adequada, com exceções para questões médicas, criminais, bancárias ou quando houver tratado internacional neste sentido.

A legislação chilena impõe que os dados pessoais sejam excluídos sempre que não houver condição que sustente seu armazenamento e também exige padrão mínimo de segurança a ser seguido, sendo permitida a transmissão de dados desde que seja guardada sua finalidade e seja exercida nos termos autorizados, quer pelo indivíduo que se registrou ou pela previsão legal respectiva. Apesar da proteção dos dados dos cidadãos chilenos, há previsão legal para quebra da proteção de dados de estrangeiros colocados no país, uma vez que o Patriot Act de 2001, dos Estados Unidos, pode obrigar o Chile a fornecer dados de alguma instituição que esteja sob sua jurisdição, em virtude do Tratado de Livre Comércio estabelecido entre os dois.

Já o Uruguai é o que possui o sistema mais rígido de Proteção de Dados, pois, além de um órgão destinado a fiscalizar e fazer cumprir as determinações da legislação que cuida do tema, a saber Unidad Reguladora y de Control de Datos Personales (Órgão Regulador do Controle de Dados Pessoais), estabelecendo todos os conceitos e implicações da criação, guarda, transporte, disponibilidade, divulgação e tratamento de dados em geral. A transmissão de dados a outro país ou organização estrangeira é proibida a menos que o destinatário proporcione condições de segurança e proteção de acordo com padrões internacionais ou regionais sobre a matéria. Nesses casos deverá existir autorização do Órgão Regulador do Controle de Dados Pessoais.

Por fim, é importante observar o armazenamento de informações dos órgãos públicos em outro país, visto que pode implicar em atrito com a soberania nacional, nos termos do artigo 1º, inciso I, da Constituição Federal, na medida em que deixa na posse de estrangeiros informações do Estado Brasileiro, as quais, via de regra, são sigilosas e confidenciais. Será que teremos que criar uma “nuvem pública nacional” para atender à Administração Pública ou os mecanismos de autenticação, criptografía e segurança da informação são suficientes? Esta nuvem poderá ser considerada território brasileiro para aplicação de lei (como ocorre com navio e aeronave) ou não? Por certo, é pauta para o Exército e o Ministério da Defesa definirem, assim como sobre terrorismo e guerra cibernética, com os ataques aos sites de governo.

--------------------------------

Leia na Fonte: Revista Trip
[13/04/11]  Problema do "cloud computing" é falta de regras internacionais sobre os dados - por Ronaldo Lemos

Ronaldo Lemos, 34, é diretor do Centro de Tecnologia da FGV-RJ e fundador do site www.overmundo.com.br

Cada vez mais dados são processados em computadores de outros países. O problema do "cloud computing" é que não há acordos internacionais dizendo como a informação deve ser tratada

Grande parte dos leitores deste artigo provavelmente usa algum tipo de e-mail baseado na web, como Gmail, Yahoo, Hotmail, dentre outros. Alguns usam sites como o Google Docs para criar documentos online, como planilhas e textos. Outros fazem da internet um grande “disco virtual”, armazenando boa parte das suas informações pessoais na rede, dispensando o HD do computador ou discos externos. Esses são os elementos básicos do que vem sendo chamado de “cloud computing” ou computação “na nuvem”. Em vez de manter as informações localmente, cada vez mais os dados são processados na “nuvem”, isto é, em computadores situados na maioria dos casos em outros países.

No mundo dos negócios isso já é um procedimento normal. Em vez de comprar um monte de computadores próprios, muitas empresas preferem contratar os serviços da Amazon ou da Salesforce.com. A empresa envia os dados lá, onde são processados, armazenados e acessados, tudo pela rede.

O problema do “cloud computing” é que não há acordos internacionais dizendo como a informação que é mandada para fora deve ser tratada. Isso gera vários tipos de problemas e preocupações. Uma falha no Gmail, por exemplo, fez desaparecer os e-mails de 150 mil usuários, muitos dos quais perdidos para sempre (bit.ly/fJmGMZ). Quem não tinha cópia em outro lugar viu suas mensagens simplesmente evaporarem na “nuvem”.

À LA WIKILEAKS

Outra preocupação é com a privacidade dos dados. Quem usa um serviço de e-mail baseado em outro país fica sujeito às leis de lá. Se uma autoridade desconfiar de você, pode pedir para ter acesso às suas mensagens. Vale o que a lei do local disser, mesmo que a lei brasileira funcione de outra forma. Essa preocupação tem aumentado especialmente depois do caso WikiLeaks. Há quem diga que dados armazenados no exterior possam ser usados até para fazer espionagem comercial (bit.ly/esC1Y1).

O Brasil está fazendo a sua parte para cuidar do problema. Está discutindo a adoção de uma nova lei de proteção aos dados pessoais, que promete resolver a questão por aqui (bit.ly/f3L5H7). Mas não dá para ser ingênuo. Quando um serviço online é utilizado, seja para fins pessoais ou comerciais, é importante saber onde os dados estão sendo armazenados e qual a política de proteção dada a eles tanto pelo próprio site quanto pelas leis locais. Afinal, não faltam bisbilhoteiros querendo dar uma de Big Brother na nuvem.

--------------------------------------------

Leia na Fonte: IDG Now! / Blog Circuito de Luca
[11/10/12]  ICANN decide armazenar mais dados sobre administradores de sites - por Cristina de Luca

Esta semana, o responsável pela proteção dos consumidores na Comissão Federal de Comércio (FTC) dos Estados Unidos, David Vladeck, acolheu com agrado a decisão da Internet Corporation for Assigned Names and Numbers (ICANN) de armazenar mais dados sobre aqueles que administram sites Web. Em Bruxelas, onde participou de uma reunião com funcionários europeus para discutir a reforma do quadro de proteção de dados pessoais na União Europeia, o diretor do Bureau of Consumer Protection da FTC elogiou a decisão, por ajudar a combater duas grandes preocupações das autoridades americanas: evitar que a Internet se transforme em um refúgio seguro para os criminosos e o leilão de domínios top level.

“A incapacidade de obter informações precisas sobre quem está administrando um site pode dificultar muito as investigações”, disse Vladeck.

A ICANN é responsável por gerir a base de dados Whois – uma lista de quem registrou nomes de domínio na Internet. E, recentemente, revelou planos para armazenar mais dados e forçar as entidades registadoras a re-verificar a informação dos contatos dos registantes de domínios, a cada ano, bem como a manterem os dados dos clientes durante dois anos após o fim do registo.

As propostas provocaram forte reação negativa do observatório de proteção de dados da União Europeia, o Article 29 Working Group (A29WG), que considerou que a iniciativa atenta contra o direito dos cidadãos à privacidade na Europa. O A29WG está preocupado que os detalhes de contatos disponíveis publicamente, ou não, como números de telefone, email, contatos do Skype e outros, bem como informações do cartão de crédito, possam ser recolhidos e usados para outros fins que não a identificação do responsável pelo registro. A base de dados Whois foi originalmente destinada a fornecer pontos de contato para consultas técnicas, mas tornou-se uma ferramenta das autoridades governamentais, policiais e jurídicas.

Amanhã, o Carlos Affonso Pereira de Souza, coordenador adjunto do Centro de Tecnologia e Sociedade da Escola de Direito da Fundação Getúlio Vargas (FGV-CTS), vai moderar uma mesa possivelmente polêmica sobre liberdade de expressão, propriedade intelectual e registro de domínio na conferência “ICANN & Internet Governance: Security and Freedom in a Connected Word” em Toronto, onde o assunto certamente virá à tona.

A conferência abordará várias questões espinhosas sobre políticas da ICANN, incluindo questões de privacidade relacionadas com a política de guarda dos dados na base Whois, que exige a publicação de dados pessoais dos registrantes de domínios e discussão de negociações em curso com as autoridades policiais a respeito de uma política relacionada com o que as autoridades chamaram de privacidade “ilegal”.

O exemplo é perfeito para ilustrar as discussões sobre proteção dos dados pessoais. Um assunto que vem preocupando muita gente em todo o mundo, dada a versatilidade das modernas tecnologias de captação, guarda, organização e tratamento dos dados; a velocidade do uso e do compartilhamentos dos dados pessoais pelas empresas; e as inúmeras possibilidades de rápida manipulação virtual desses dados.

Do lado das autoridades governamentais, o discurso parte principalmente dos órgãos responsáveis pela defesa dos consumidores. Não à toa, aqui no Brasil a equipe do Ministério da Justiça que trabalha no anteprojeto de Lei de Proteção de Dados Pessoais está alocada na Secretaria Nacional do Consumidor. O governo federal quer coibir o compartilhamento de informações pessoais de clientes por empresas sem autorização prévia dos titulares dos dados. O projeto, que entre outras coisas regulamenta o fluxo de dados pessoais entre empresas, proibindo o repasse de números telefônicos, documentos como o CPF e endereços sem a autorização do usuário, está em fase de finalização e seguirá em breve para análise da Casa Civil, depois de dois anos da divulgação do primeiro rascunho, submetido à consulta pública.

Segundo Danilo Doneda, Coordenador-Geral de Supervisão e Controle do Departamento de Proteção e Defesa do Consumidor da Secretaria de Direito Econômico do Ministério da Justiça, a maior dificuldade das equipes que trabalham no texto do PL foi “harmonizá-lo” com outros marcos normativos que tratam da proteção de dados, especialmente marcos da sociedade da informação, como a Lei de Acesso, o Cadastro Positivo, etc. “A Lei de Acesso à informação deu um passo gigantesco e favorável a um direito específico da proteção de dados, que é o direito de acesso”, explica Doneda. “Paradoxalmente, com base na Lei de Acesso à Informação o cidadão pode ter acesso aos próprios dados pessoais mantidos pelos órgãos públicos. Uma consequência importante da legislação”, diz ele, que acredita que o PL deva ser encaminhado ao Congresso ainda este ano.

Do lado das entidades de defesa da privacidade e direitos dos cidadãos e consumidores, as preocupações dizem respeito ao controle que as pessoas devem ter sobre seu dados, onde quer que estejam armazenados, sejam em serviços internet mas, principalmente, em base de dados governamentais e também ao tratamento adequado dos dados. Há garantias suficientes sobre a segurança no tratamento desses dados pessoais? Qual é a real quantidade de dados coletados? Que dados podem ou devem ser tornados públicos? Qual o nível de cruzamento e perfilação desses dados? O cidadão dá, de fato, consentimento expresso para o tratamento, troca e divulgação dos seus dados? Como impedir que o gerenciamento dos dados seja feito por terceiros (órgão governamentais, bancos, serviços de internet, lojas, etc) sem qualquer tipo de controle? A quem deve caber hoje fiscalizar os procedimentos de guarda e tratamento?

Muitas dessas questões, quando tratamos dos internautas, estão endereçadas no Marco Civil da Internet. O Marco Civil deixa claro que os dados de uso da Internet (cadastrais e de navegação) pertencem aos usuários e só podem ser entregues às autoridades mediante ordem judicial.

Juntos, o Marco Civil e a Lei de Proteção de Dados Pessoais deverão cobrir boa parte das questões levantadas anteriormente, em relação a todo e qualquer banco de dados. Na América Latina, o Brasil é um dos poucos países que ainda não tem uma legislação específica para tratar tema.

Os próximos anos prometem debates intensos sobre que privacidade teremos, que dados queremos proteger e quem terá o direito de usá-los. Há muitos desafios pela frente. Principalmente porque o conceito de dados pessoais é muito amplo e impreciso. Como vamos evitar que o tratamento de dados seja uma atividade de risco? Como vamos diferenciar o tratamento de dados realizado pelo poder público do tratamento realizado pela iniciativa privada? Como vamos tratar as violações de dados por parte do poder público e da iniciativa privada?

O debate está aberto e todos nós seremos afetados pelas ações tomadas a partir deles. Portanto, convém acompanhar de perto.