‘Cloud computing’ e privacidade

Thiago Luís Sombra*

02 de abril de 2019 | 05h00

A economia compartilhada tem como uma de suas marcas a projeção disruptiva de novas formas de bens e serviços, cuja principal característica envolve a mudança de paradigmas e estruturas físicas. Dentre elas, a computação em nuvem ou cloud computing representa um formato inovador na transferência, armazenamento e compartilhamento de dados, que por meio da superação das limitações impostas pelas camadas físicas, permite conferir exponencialidade à gestão de informações sob o controle dos usuários.

Além de ser uma ferramenta marcada pela disrupção e relativa convergência, as clouds atuam como meio de empoderamento do usuário, na medida em que estimulam o armazenamento descentralizado em vários dispositivos, bem como viabilizam o acesso em qualquer lugar, formatação e em larga escala.

Por essa razão, os benefícios proporcionados pelas clouds atingem diferentes setores do mercado e de maneiras diferenciadas, com vantagens competitivas tanto para o setor público quanto privado, bem como funcionalidades próprias para os usuários tais como (i) proporcionar um aumento da produtividade e menores investimentos em ativos fixos; (ii) ampliar a gestão profissional e o acesso do consumidor a todas as aplicações em larga escala e qualquer lugar; (iii) viabilizar melhores controles de segurança e configuração; (iv) assegurar mecanismos de atualização de sistemas mais eficientes e funcionalidades personificadas; (v) conferir acesso a serviços sob demanda, por meio dos quais o usuário configura as aplicações em nuvem de acordo com suas preferências; (vi) permitir o agrupamento de recursos de computação para atender a vários usuários, com medição, alocação, realocação e redimensionamento dinâmico de espaço de acordo com as demandas de armazenamento, transferência e gestão.

Ao mesmo tempo em que a ubiquidade, enquanto possibilidade de rompimento das fronteiras territoriais, representa uma das externalidades positivas de mercado do emprego de clouds, por outro lado a forma de regulação ainda desperta controvérsias. Na medida em que a principal característica das clouds advém da superação das limitações físicas d armazenamento de dados, o arranjo regulatório ideal para disciplinar esse fenômeno deveria adotar como premissa a aplicação extraterritorial das leis de proteção de dados, e não o excessivo apego às premissas do mundo físico.

Como forma de ilustrar os arranjos regulatórios de clouds, três modelos despontam como
os mais relevantes para compreender as particularidades dessa ferramenta: o data shard, o data localizaton e o data trust.

O modelo Data Shard cloud é conhecido por permitir que uma empresa armazene informações em clouds em vários locais. Nessa abordagem dinâmica, a própria rede distribui dados para servidores domésticos e internacionais, de acordo com um processo de alocação estratégica de espaço. Um único arquivo pode ser dividido em componentes e armazenado em diferentes países, de modo que a inteligência incorporada na arquitetura da rede atua para definir o local para onde enviar e armazenar os dados. A arquitetura da rede se vale da sua própria inteligência para criar eficiências operacionais.

No modelo Data Localization cloud, uma empresa armazena informações em uma nuvem restrita a um único país ou região, em especial por conta de restrições legais ou regulatórias. Trata-se de um modelo de pouco aproveitamento da redução dos custos e dos benefícios inerentes à ubiquidade e escalabidade das clouds, sem necessariamente assegurar a segurança da informação pretendida.

Por fim, o modelo Data Trust cloud contém uma abordagem aprimorada de localização de dados. Como no modelo de data localization, uma nuvem no formato data trust pode estar localizada em um país ou em uma única região, mas comporta uma segregação entre gerenciamento de rede e capacidade de acesso aos dados. O modelo de Data Trust cloud depende de construções legais e técnicas – fronteiras nacionais e instrumentos de confiança – e molda a tecnologia para se adequar às categorias legais selecionadas. Essa abordagem pode ser usada para estabelecer tanto uma localização extraterritorial de informação quanto um acesso extraterritorial a ela, o que demonstra a ampla dinamicidade desse formato.

Com exceção do segundo modelo acima, os demais foram construídos sob o prisma da regulação extraterritorial de clouds (geographically-based approach), a que mais se adequa a esse formato de armazenamento e transferência de dados. Em linha com a aplicação exterritorial das leis gerais de proteção de dados recentemente aprovadas, cujo objetivo é atingir os processos de transferências e armazenamento de dados em clouds, o Marco Civil da Internet abandonou a necessidade de que empresas estejam estabelecidas no Brasil ou que os dados aqui sejam armazenados, fenômeno conhecido como data residency request. Essa posição é, por sinal, registrada no voto do Ministro Benjamin Zymler do Tribunal de Contas da União, quando da análise do formato de contratação de cloud computing pela administração pública.

Na contramão da regulação mais moderna sobre o tema, atos normativos como a Portaria GSI n.º 9/2018 e o edital 57/2017 relativo à consulta pública do Banco Central para a edição da IN CMN 4658/18 e Circular Bacen 3909/19 almejaram revigorar o tema da territorialidade para impor exigências de armazenamento no país. No mesmo caminho, aliás, seguiu a CVM com a consulta pública para a alteração da IN CVM 505/11. No entanto, na redação final da IN CMN 4658/18 e da Circular Bacen 3909/18, o Banco Central abandonou a territorialidade (data residency request) por perceber que essa perspectiva não necessariamente conferiria mais segurança e proteção aos dados pessoais. No mesmo sentido seguiu o Ministério do Planejamento quando do lançamento da consulta pública para a atualização da IN 4/2014 . A CVM ainda não editou a nova instrução normativa que alterará a IN CVM 505/11, de modo que ainda não é possível saber se persistirá com a proposta inicial acerca da territorialidade.

E na medida em que a lei não impôs restrições dessa grandeza por meio do Marco Civil da Internet ou da Lei Geral de Proteção de Dados (LGPD), esses atos normativos secundários poderiam ser considerados ilegais ou inconstitucionais por impor restrições não previstas em lei e instituídas por órgãos reguladores destituídos de competência para tanto.

Em linha com as mais modernas regulações sobre proteção de dados, a legislação europeia – General Data Protection Regulation (GDPR) e a brasileira de proteção de dados (LGPD) optaram por adotar o regime da extraterritorialidade ao invés de se ocupar de meras exigências territoriais que se demonstraram incapazes de apresentar soluções plausíveis para regular as empresas de tecnologia e, em especial, os serviços de cloud computing em âmbito global.

Operações de tratamento de dados realizadas dentro do território brasileiro estão invariavelmente sujeitas à aplicação da LGDP, assim como as operações que tenham por objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no território brasileiro, ainda que a empresa responsável por essa atividade esteja sediada ou localizada fora do país.

Com a adoção da perspectiva da extraterritorialidade da aplicação da lei, em detrimento das exigências de data residency request, o regime jurídico de proteção de dados e as clouds se tornam duas faces complementares de um processo regulatório dinâmico, eficiente e bem mais adequado às características particulares do ciberespaço. Em outras palavras, as exigências de data residency request apenas representarão gargalos regulatórios que impactarão no processo de inovação, no fluxo das transações comerciais, na melhor alocação de recursos e na obstaculização da conversão de ativos físicos em digitais.

*Thiago Luís Sombra, certificado com o CIPP/Europe, é sócio da área de Direito Público e Tecnologia da Informação do escritório Mattos Filho, doutor em Direito, Regulação e Tecnologia pela Universidade de Brasília, chair da International Association of Privacy Professionals e secretário da Comissão de Economia Digital da International Chamber of Commerce

Tendências: