a protecção de dados na cloud -...

A Protecção de Dados na CloudLuís Neto Galvão, Advogado, Sócio da SRS Advogados

27.05 2014

Protecção de Dados na Cloud

Aquela Nuvem- É tão bom ser nuvem,

ter um corpo leve,e passar, passar.

- Leva-me contigo.Quero ver Granada.

Quero ver o mar.(…)

Eugénio de Andrade (1923-2005), Aquela Nuvem e Outras (1986)

Sociedade Rebelo de Sousa& Advogados Associados,RL

2

Departamento | DepartmentTelecomunicações

Luís Neto Galvão



3

Departamento | Department

These are the Clouds

These are the clouds about the fallen sun, The majesty that shuts his burning eye: The weak lay hand on what the strong has done, Till that be tumbled that was lifted high And discord follow upon unison, And all things at one common level lie. And therefore, friend, if your great race were run And these things came, so much the more thereby Have you made greatness your companion, Although it be for children that you sigh: These are the clouds about the fallen sun, The majesty that shuts his burning eye.

W. B. Yeats (1865-1939)These are the Clouds,The Green Helmet and Other Poems, 1910

Luís Neto GalvãoTelecomunicações


Definição de Cloud computing:

• A computação em nuvem é um modelo para permitir o acesso ubíquo, conveniente, a pedido e através de uma rede [Internet] um conjunto de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente disponibilizados e fornecidos com um esforço mínimo de gestão ou interacção mínima com o prestador de serviços.

Fonte:

National Institute of Standards and Technology (NIST), US Department of Commerce, Special Publication 800-145


4

Departamento | Department Luís Neto GalvãoTelecomunicações


Modelos de Servico Cloud:

• Infrastructure as a Service (IaaS): Amazon Web Services, Windows Azure, Cisco, HP, IBM, Atos, SmartCloudPT;

• Platform as a Service (PaaS): Amazon Web Services (AWS), Google App Engine, Microsoft Windows Azure, Salesforce;

• Software as a Service (SaaS): Email, GOOGLE AppStore, Salesforce, Dropbox, QuickBooks, e Microsoft Office 365.


5



••


6



Comunicação da Comissão de Setembro de 2012, “Explorar plenamente o potencial da computação em nuvem na Europa”

(COM/2012/0529 final)

•Potencial na Europa: despesa directa suplementar de 45 000 MEUR em 2020 e impacto cumulativo global no PIB europeu de 957 000 MEUR e 3,8 milhões de postos de trabalho até

2020

•As preocupações em matéria de protecção de dados foram identificadas como um dos mais sérios obstáculos

à adesão à

computação em nuvem.


7


Protecção de Dados na CloudAlguns Exemplos de “Autoridades”

de Protecção de Dados Europeias que se Ocuparam do Tema

•Grupo de Protecção de Dados do Artigo 29 (Article 29 WP), Opinião 5/2012, sobre Cloud Computing

•Orientações: CNIL (Fr, 25/06/2012), ICO (UK, 02/10/2012), Data Protection Commissioner (IRL, 03/07/12), GarantePrivacy (IT, 06/12), CBP (NL, 30/10/2012), Kontakta Datainspektionen (SE, 11/11); ULD (Schleswig- Holstein, D, 07/2012),

•International Working Group on Data Protection in Telecommunications (Berlim, 24/04/2012)

•Sítio do European Data Protection Supervisor (EDPS), Q&A Cloud Computing.


8



Snowden, Junho de 2013

•Relatório do Parlamento Europeu, Comissão LIBE, 21/02/2014:

– Relatório Sobre o programa de vigilância da Agência Nacional de Segurança dos EUA (NSA), os organismos de vigilância em diversos Estados-Membros e o seu impacto nos direitos fundamentais dos cidadãos da UE e na cooperação transatlântica no domínio da justiça e dos assuntos internos (2013/2188(INI)

Relator: Claude Moraes, MEP, UK

URL: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014- 0139+0+DOC+XML+V0//PT


9



Algumas Conclusões Sobre as Actividades de Vigilância

•As actividades de vigilância em larga escala permitem às agências de informação [americanas] ter acesso a dados pessoais armazenados ou submetidos a outro tratamento pelos cidadãos da UE ao abrigo de acordos de serviços de computação em nuvem com os principais prestadores de serviços de computação em nuvem dos Estados Unidos,

•Os serviços de informação norte-americanos tiveram acesso a dados pessoais armazenados ou tratados em servidores localizados no território da UE interceptando as redes internas da Yahoo e da Google;

•Não se exclui a possibilidade de os serviços de informação terem tido acesso às informações armazenadas em serviços de computação em nuvem pelas autoridades públicas ou empresas e instituições dos Estados-Membros.


10


Protecção de Dados na Cloud• Relatório da Information Technology and Innovation Foundation,

Washington, 2013

– As revelações sobre as actividades de espionagem irão custar à indústria americana de cloud computing entre USD 22 e 35 mil milhões de dólares em perda de receita, entre 2014 e 2016

• Inquérito 3/2014, NTT Communications (algumas conclusões “interessadas”):

– Almost nine in ten (88 percent)

ICT decision-makers are changing their cloud buying behaviour, with over one in three (38 percent) amending their procurement conditions for cloud providers;

– Only 5 percent of respondents believe location does not matter;

– Around six in ten (62 percent) of those not currently using cloud feel the revelations have prevented them from moving their ICT into the cloud;

– ICT decision-makers now prefer buying a cloud service which is located in their own region, especially EU respondents (97 percent) and US respondents (92 percent).


11



Protecção de Dados fora do Quadro das Negociações da Parceria Transatlântica para o Comércio e Investimento:

“Including data protection in the trade talks is like opening Pandora’s box. The EU is not ready to lower its own standards . . . That is why the free trade agreement negotiations are not going to include privacy standards.”Viviane Reding, Financial Times, Novembro de 2013

•Comunicação da Comissão ao Parlamento Europeu e ao Conselho “Rebuilding Trust in EU-US Data Flows”, 27.11.2013

– Ad hoc EU-US Working Group on Data Protection

– US-EU joint Statement (11/2013): Anúncio de objectivo comum de celebração de acordo que facilite transferências de dados no quadro da cooperação judicial e policial no dominio criminal, assegurando um elevado nível de protecção para os cidadãos europeus e americanos – negociações a concluir no Verão de 2014.


12



Algumas Questões Jurídicas Fundamentais

•Caracterização jurídica do prestador de serviços cloud

– Responsável pelo tratamento: pessoa que “individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”;

– Subcontratante: pessoa que “trate os dados pessoais por conta do responsável pelo tratamento”;

– Distinção fundamental para alocação correcta de responsabilidade e estruturação do modelo contratual (WP 29, Opiniões 1/2010, 5/2012, Opinião do EDPS, 16/11/2012)

– Prestador cloud como subcontratante: prestador deve oferecer garantias suficientes quanto a medidas de segurança técnica e de organização do tratamento a efectuar e zelar pelo seu cumprimento; contrato escrito;, vinculação; medidas de segurança;

– Excepção: actividades domésticas (artigo 4.º, 2, Lei 67/98, de 26/10).


13



Algumas Questões Fundamentais

•Gratuitidade dos Serviços v onerosidade;

•Portabilidade;

•Segurança e Integridade;

•Localização dos dados e acórdão Digital Rights Ireland (Acórdão TJUE, 4/2014).


14



• Transferências Internacionais de Dados

– Exclusão de BCRs - Binding Corporate Rules for Processors, WP 29, 12/2012 (CNPD?)

– Contratos ad hoc

– Safe harbour

– A transferência internacional obtém aprovação automática se efectuada ao abrigo de cláusulas standard aprovadas pela Comissão Europeia (cláusulas Standard Responsável-Subcontratante, de 2010)

– Vazio de soluções adequadas nas transmissões Subcontratante-Sub-subcontratante, limitações de soluções propostas, exigindo outorga do responsável em cada subcontratação;

– WP29, Working document 01/2014 on Draft Ad hoc contractual clauses “EU data processor to non-EU sub-processor “Sociedade Rebelo de Sousa

& Advogados Associados,RL

15


Empresa

Prestador de Serviços Cloud Subcontratante

Sub-subcontratante em país terceiro


EU + EEE


Afloramento Sobre a Proposta de Regulamento de Protecção de Dados

•Regime de responsabilização dos subcontratantes – obrigações que decorrem do regulamento;

•Portabilidade;

•Aplicação extraterritorial, vai abranger ofertas cloud dirigidas a clientes europeus;

•Deveres de notificação em caso de violação de privacidade - segurança e integridade.


16


Cloud Computing –

Protecção de Dados

Grupo de Peritos da Comissão Sobre Contratos de Cloud Computing

•Lançado pela Comissão Europeia em Outubro de 2013, após processo de selecção ocorrido no Verão de 2013;

•Tem a missão de redigir cláusulas seguras e equitativas para os contratos de computação em nuvem, com base num instrumento opcional;

•O objectivo é identificar as boas práticas utilizadas para responder às preocupações dos consumidores e das pequenas empresas, que frequentemente se mostram relutantes em comprar serviços de computação em nuvem porque os contratos são pouco claros.

URL: http://ec.europa.eu/justice/contract/cloud-computing/expert- group/index_en.htm


17


http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm




Cloud Computing –

Protecção de Dados


18


nec temere nec timide


Obrigado | Thank you.

Protecção de Dados Pessoais na Cloud

19



LISBOAR. Dom Francisco Manuel de Melo, nº21, 1070-085T. +351 21 313 2000 | F. +351 21 313 2001

FUNCHALAv. Zarco, nº2, 2º, 9000-069 T. +351 291 20 2260 | F. +351 291 20 2261

PORTO (*)R. Tenente Valadim, nº215, 4100-479 T. +351 22 543 2610 | F. +351 22 543 2611

a protecção de dados na cloud -...

Documents