BT

Início Artigos O fim do Privacy Shield pode levar a um desastre para os provedores de nuvem em hiperescala

O fim do Privacy Shield pode levar a um desastre para os provedores de nuvem em hiperescala

Favoritos

Pontos Principais

  • Embora o acordo Privacy Shield tenha sido rescindido, as Cláusulas Contratuais Padrão (SCCs, em Inglês) não foram anuladas.

  • Os figurões da infraestrutura em nuvem estão tentando reter e acalmar os clientes, emitindo declarações enganosas que só irão confundir os usuários.

  • O não cumprimento das leis de vigilância pode ser muito caro para as partes culpadas.

  • A reforma das leis de vigilância dos Estados Unidos, embora otimista, é a única solução plausível para proteger as pessoas do pagamento de multas pesadas.

De acordo com o relatório Cloud Adoption in 2020 da O'Reilly Media, houve um aumento significativo na dependência da computação em nuvem. Embora isso normalmente seja uma boa notícia para os principais provedores de nuvem em hiperescala, o recente término do acordo Privacy Shield pelo Tribunal de Justiça da União Européia (ECJ, em Inglês) pode ser apenas um spoiler que ninguém esperava.

Os ativistas de privacidade preveem que o fim do acordo Privacy Shield pode criar ramificações sérias, que podem colocar uma pressão tremenda sobre os grandes fornecedores de infraestrutura em nuvem, como Amazon Web Services (AWS), Microsoft, e Google.

Continue lendo enquanto discutimos o que isso significa para os clientes que usam os serviços desses provedores e se existem soluções que possam ajudar a corrigir esse problema.

O que era o Privacy Shield?

O Privacy Shield foi um acordo entre a UE e os EUA que tinha como objetivo fornecer às "empresas de ambos os lados do Atlântico um mecanismo para cumprir os requisitos de proteção de dados em apoio ao comércio transatlântico", de acordo com a declaração no site do acordo.

Em outras palavras, o acordo era um mecanismo reconhecido para cumprir os requisitos de proteção de dados da UE sempre que dados pessoais eram transferidos do Espaço Econômico Europeu (ETA, em Inglês) para os Estados Unidos.

As empresas foram forçadas a processar ou transferir dados pessoais de maneira consistente com os princípios do Privacy Shield. As partes também foram totalmente responsabilizadas e obrigadas a tomar as medidas necessárias para manter os dados pessoais protegidos de qualquer acesso não autorizado.

Aqui está uma lista com resumo dos sete princípios do Privacy Shield:

  • Aviso: É necessário que as empresas publiquem avisos de privacidade que contenham informações específicas sobre sua participação no Privacy Shield. Isso inclui práticas de privacidade, uso de dados por residentes da UE, e coleta e compartilhamento de dados com terceiros.
  • Escolha: As empresas devem ter um mecanismo que permita aos indivíduos optarem por não divulgar informações pessoais a terceiros ou ter seus dados usados ​​para finalidades diferentes das especificadas.
  • Responsabilidade por Transferência Subsequente: As empresas devem celebrar contratos com terceiros ou agentes que irão processar dados pessoais para e em nome da organização. Eles também devem ser consistentes com os princípios do Privacy Shield.
  • Segurança: Medidas razoáveis e apropriadas devem ser tomadas pelas empresas para proteger os dados pessoais contra perda, uso indevido, acesso não autorizado, divulgação, alteração, e destruição.
  • Integridade dos Dados e Limitação de Finalidade: As empresas devem tomar medidas razoáveis para limitar a posse de forma compatível com os propósitos para que foram coletados e processados.
  • Acesso: As empresas devem fornecer um método para solicitar acesso, corrigir, alterar, ou excluir os dados coletados.
  • Registros, Aplicação, e Responsabilidade: As empresas enfrentarão as consequências de qualquer não-conformidade. Este princípio também aborda o recurso para indivíduos afetados e verificação de conformidade.

A ideia aqui era garantir uma supervisão mais forte e atividades de fiscalização por parte das organizações governamentais dos Estados Unidos, juntamente com a melhoria da cooperação e transparência para as partes envolvidas. Foi particularmente benéfico para os cidadãos do Espaço Econômico Europeu (EEA, em Inglês), uma vez que lhes forneceu novas proteções de privacidade e segurança para evitar violações de dados críticos e melhorar a resolução de reclamações.

Por que o Privacy Shield Framework foi anulado e o que isso significa para você?

Recentemente, o ECJ concluiu que o Privacy Shield estava falhando - falhou em proteger a privacidade das pessoas cujos dados estavam sendo transferidos para os EUA.

O órgão constatou que os programas de vigilância dos EUA não se limitavam a coletar somente o que era necessário, e que os titulares dos dados não tinham recursos legais nos EUA em caso de reclamações. No final, o ECJ acabou anulando o acordo Privacy Shield, que deixou o futuro das transferências de dados entre a UE e os EUA preso em um limbo jurídico.

Veja, as empresas precisam de acesso a dados pessoais para uma melhor tomada de decisão que pode, em última instância, acelerar o crescimento e o desenvolvimento. Mas isso não pode ser às custas da perda de controle sobre o processamento e a transferência de dados.

Além disso, a complexidade dos aplicativos de software da era moderna, com a necessidade de implantá-los em diferentes plataformas e dispositivos, tornou o teste de software imperativo para evitar que autoridades não autorizadas tenham acesso a dados privativos. A urgência dessa notícia adicionada ao aumento constante de ataques cibernéticos bem-sucedidos também aumentou a necessidade de adotar metodologias de teste de garantia de qualidade (QA) minuciosos para que o uso de aplicativos de software e a transferência de informações pela Internet sejam os mais seguros possíveis.

No entanto, considerando o quão falho é o cenário atual de privacidade de dados, o anonimato dos dados ainda é um sonho distante - pelo menos quando levamos em consideração o cenário atual.

Foi um importante defensor da privacidade, Max Schrems, que contestou o acordo Privacy Shield e argumentou que as leis de segurança dos Estados Unidos eram inadequadas e, portanto, não protegiam os dados dos cidadãos da UE da vigilância.

Schrems exigiu a suspensão do uso futuro das Cláusulas Contratuais Padrão (SCCs, em inglês) do Facebook, que é um mecanismo que autoriza a transferência de dados do usuário para os EUA para processamento, a partir da Comissão Irlandesa de Proteção de Dados (DPC).

Embora isso tenha encerrado o Privacy Shield, os SCCs também não são seguros. Mesmo que este último ainda seja teoricamente utilizável, eles não são uma opção viável para transferir dados pessoais da UE para os EUA na ausência de proteções adicionais contra a vigilância do governo dos EUA.

Má notícia para provedores de infraestrutura em nuvem

Empresas como Amazon Web Services (AWS), Google, e Microsoft ficaram inicialmente felizes com o fato de as SCCs não terem sido anuladas. Mas logo perceberam como a decisão do Privacy Shield poderia ter consequências mais adversas para eles no longo prazo.

Logo, todas as três gigantes emitiram declarações em uma tentativa de garantir aos clientes que suas nuvens ainda estavam abertas, com a Microsoft garantindo a seus clientes comerciais ou do setor público que eles poderiam continuar usando seus serviços sem infringir a lei europeia.

No entanto, alguns defensores da privacidade foram rápidos em apontar que apenas as empresas que continuam a usar as SCCs podem continuar oferecendo garantias sobre proteção de dados contra vigilância de empresas terceirizadas que estão em estado de espera ou em trânsito. Portanto, várias dessas declarações foram enganosas.

O Google, por exemplo, é um provedor de serviços de comunicação eletrônica, e por isso se enquadra nas duas categorias. A plataforma pode muito bem ser o maior mecanismo de busca. No entanto, a crescente conscientização sobre a segurança e privacidade dos dados pode forçar os usuários a procurar outras opções confiáveis que garantam o compartilhamento mais seguro de informações privadas online.

As redes privadas virtuais (VPNs, em inglês) ajudam você a conseguir isso, protegendo sua conexão pública com a Internet por meio de criptografia e protegendo sua atividade online de cibercriminosos (bem como de seu próprio provedor de serviços de Internet ou ISP). Em termos de privacidade online, as VPNs mais seguras hoje são transparentes sobre suas políticas de privacidade, tomam medidas para corrigir vazamentos e não mantêm registros do seu histórico de navegação.

Entendendo as opções disponíveis para as empresas continuarem a transferir dados da UE para os EUA

As empresas que fazem negócios na UE e trazem dados de clientes para os EUA precisam fazer mudanças drásticas para garantir a privacidade dos dados. Caso contrário, eles podem acabar pagando multas significativas.

A seguir, discutimos as cinco opções disponíveis para as empresas continuarem seus negócios sem interrupção, dependendo da extensão do impacto em potencial.

Opção 1: Ter SCCs implementadas

Os acordos para permitir a transferência de dados entre empresas, ou empresas e consumidores, provavelmente terão uma cláusula de fallback - desde que bem escritos. Se sim, isso sancionará automaticamente as Cláusulas Contratuais Padrão (SCCs, em Inglês) para controlar a transferência de dados em caso de anulação compartilhada anteriormente.

Basicamente, o que as empresas podem fazer é revisar seus contratos para se certificar de que as SCCs estão em vigor e ativadas. Caso contrário, eles podem obter a assinatura ou um adendo assinado para habilitar as SCCs como parte de cada contrato de cliente.

Opção 2: Interromper totalmente a transferência de dados da UE para os EUA

Na ausência do Privacy Shield ou das SCCs, as empresas devem considerar a interrupção de qualquer transferência de dados da UE para os Estados Unidos, se não quiserem enfrentar multas significativas.

As empresas que podem interromper a transferência de dados para os EUA e conseguem operar exclusivamente na UE não apenas evitarão multas, mas também evitarão qualquer revisão e alteração de contrato. Ao mesmo tempo, isso pode ser um desafio, especialmente para aquelas que acessam ferramentas e serviços de empresas com dados de clientes da UE.

Opção 3: Firmar-se na UE

Você descobrirá que a maioria das grandes empresas de consumo de Internet tem um controlador de dados com base na UE, o que lhes dá a vantagem do princípio one-stop-shop.

Isso permite que eles escolham o país da UE que desejam tratar em questões de privacidade, além de ajudá-los a contratar os serviços de um DPO com base na UE e ter um mecanismo de backup de transferência de dados.

O problema aqui é que esse processo é bastante caro. Para se qualificar como um controlador na UE, as organizações precisam de pessoal, para que a entidade possa "determinar as finalidades e os meios de processamento de dados pessoais." Em outras palavras, a contratação de um DPO torna-se mandatório.

No passado, a Comissão Irlandesa de Proteção de Dados (IIRC, em Inglês), puniu algumas empresas por não contratarem seus controladores de forma adequada, o que criou problemas para que atendessem aos requisitos do GDPR. Os advogados de privacidade dessas empresas permaneceram na sede nos Estados Unidos.

Além disso, ter um ponto na UE também aumenta os riscos de aplicação do GDPR para as empresas.

Opção 4: Abra uma operação na UE casualmente

Começar uma operação na UE pode ser feita em três etapas fáceis:

  1. Contrate uma empresa que possa atuar como seu controlador
  2. Encontre e contrate um advogado externo para ser seu DPO
  3. Assine cláusulas contratuais padrão (SCCs, em Inglês)

Essa opção tem sua própria parcela de pontos positivos e negativos. O maior benefício é que certamente é mais barato. No entanto, a coisa toda parece uma farsa, já que o controlador não está atuando exatamente como um controlador. Essa pessoa não tem voz sobre como a empresa usa os dados pessoais.

A outra desvantagem é que você não estará livre de penalidades quando se trata de multas, graças a uma indenização do controlador em vigor. Não vamos esquecer que, uma vez que o controlador estará ali mesmo na UE, não será difícil emitir e obter multas lucrativas para as empresas.

Opção 5: Cessar as operações comerciais entre os EUA e UE

Sim, esta é definitivamente uma solução cara, mas é uma solução, no entanto.

As empresas americanas podem ter de parar de fazer negócios na UE, e as empresas da UE terão de parar de usar empresas americanas como fornecedores. Isso, é claro, só se aplica a empresas que transferem dados para negócios.

Afinal, se você não vai cumprir o GDPR, a próxima melhor opção é não estar na UE, especialmente porque a UE tem se mostrado pouco disposta a tentar impor o GDPR nos EUA.

Se você está considerando as coisas de um ponto de vista teórico, isso parece factível. Um comissário de proteção de dados (DPC, em Inglês) baseado na UE poderia emitir uma multa e então voar pelo Atlântico para pedir a um tribunal dos EUA que a aplique.

Na realidade, no entanto, os DPCs não estão dispostos a sequer olhar para uma empresa apenas Americana.

Outros mecanismos legais

As organizações também podem recorrer a algo conhecido como Regras Vinculativas das Empresas (BCRs, em inglês) ao transferir dados. Ainda existem problemas, no entanto.

Em primeiro lugar, as BCRs são muito complexas de configurar, especialmente quando se trata de uma joint venture ou propriedade fracionada. As entidades envolvidas têm de aceitar a responsabilidade por litígios de titulares de dados.

Segundo, eles precisam da aprovação formal do regulador da UE local da organização. Considerando o novo contexto, esta não é uma tarefa fácil e também pode causar atrasos significativos. Além disso, apesar de abranger as negociações comerciais, as derrogações do Artigo 49º não podem ser utilizadas para transferências repetitivas. Mas sim, eles poderiam acelerar vendas ocasionais dos EUA para a UE.

Quanto aos EUA, parece não haver solução por enquanto. Autoridades estaduais expressaram decepção com a invalidação do Privacy Shield, mas ainda afirmam que estudam a decisão para entender seus impactos práticos. Além disso, eles esperam limitar as consequências negativas para as relações econômicas transatlânticas em $7,1 trilhões, mas se eles não tomarem as medidas para operar dentro de um prazo razoável, haverá perdas substanciais.

Agora, é verdade que todo o processo levará tempo, mas isso não muda o fato de que há uma grande possibilidade de fluxos de dados existentes para os EUA serem considerados ilegais em muitos casos.

As reformas da lei de vigilância dos EUA são uma necessidade

Tendo isso em mente, o não cumprimento das leis pode ser um assunto caro. A educação financeira pode manter as pessoas fora de situações ruins, mas considerando que apenas 24% dos millennials, que são a maior geração da história americana, demonstram isso, destaca-se a importância de ter uma solução mais permanente.

Por exemplo, o Facebook teve que pagar uma espantosa multa de $5 bilhões após violar uma ordem da FTC de 2012, enganando os usuários sobre sua capacidade de controlar a privacidade de seus dados pessoais. Até mesmo o Google e a British Airways pagaram $59 milhões e $235 milhões aproximadamente por falta de transparência na coleta de dados e mecanismos de segurança inadequados, respectivamente.

A solução adequada então? Reformar as leis de vigilância dos EUA. O único problema aqui é que ainda é um objetivo ambicioso.

Veja, se as empresas de tecnologia quiserem fazer um acordo para ter um plano alternativo na forma de SCCs para continuar a transferência de dados, as leis de vigilância dos EUA terão que ser reformuladas para aumentar a proteção. Embora seja definitivamente uma tarefa desafiadora, ainda há espaço de manobra suficiente para se chegar a um acordo.

Além disso, um projeto de nuvem europeu conhecido como Gaia-X também foi revelado no início de 2020. Esta iniciativa é uma colaboração entre a Comissão Europeia (CE), França, Alemanha, e outras organizações do outro lado do Atlântico. Os investimentos já estão acontecendo para restaurar a 'soberania tecnológica' dos continentes.

O fato de as empresas de nuvem dos EUA não poderem usar as SCCs até que as leis dos EUA sejam reformadas pode dar um impulso sólido a essa iniciativa da Europa, que, por sua vez, aumenta a pressão sobre a AWS, Microsoft e outros provedores de infraestrutura de nuvem.

O resultado final

Os clientes estão cada vez mais cientes da importância da privacidade e segurança de dados.

Nos EUA, ainda são os estados que estão conduzindo o diálogo no que diz respeito à lei de privacidade. Portanto, esperar por reformas nas leis de vigilância é definitivamente uma solução otimista, mas não confiável. A recente iniciativa Gaia-X também cria um caso de negócios atraente.

No entanto, será interessante ver o que as empresas hiperescalonadas vão fazer para ficar na Europa e manter sua participação de mercado dominante dadas as circunstâncias.

Sobre a autora

Nahla Davies é desenvolvedora de software e escritora técnica. Antes de dedicar seu trabalho em tempo integral à redação técnica, ela atuou - entre outras coisas intrigantes - como programadora líder em uma das 5.000 empresas privadas de crescimento mais rápido nos Estados Unidos, cujos clientes incluem Samsung, Time Warner, Netflix, e Sony.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Seu cadastro no InfoQ está atualizado? Poderia rever suas informações?

Nota: se você alterar seu email, receberá uma mensagem de confirmação

Nome da empresa:
Cargo/papel na empresa:
Tamanho da empresa:
País:
Estado:
Você vai receber um email para validação do novo endereço. Esta janela pop-up fechará em instantes.