O órgão regulador da privacidade da UE, o Supervisor Europeu de Proteção de Dados (EDPS), começou a examinar se as principais instituições e agências do bloco estão efetivamente protegendo os dados pessoais dos cidadãos ao usar os serviços de nuvem AWS da Amazon e Azure da Microsoft.
Em uma investigação separada, a EDPS também investigará se o uso do Microsoft Office 365 pela Comissão Europeia está em conformidade com as leis de proteção de dados.
A AEPD anunciou o lançamento de ambos os inquéritos relativos ao acórdão Schrems II ocorrido no verão passado e que introduziu novos obstáculos à transferência de dados pessoais entre os EUA – onde estão sediadas a Amazon e a Microsoft – e a UE.
VER: Política de energia verde do Data Center de TI (Tech Republic Premium)
Na decisão, o Tribunal de Justiça da UE concluiu que as leis nacionais nos EUA não correspondiam aos rigorosos requisitos de proteção de dados estabelecidos pelo Regulamento Geral de Proteção de Dados (GDPR) do bloco, o que significa que, sem salvaguardas adicionais, os dados pessoais dos cidadãos da UE não podem ser processados com segurança através do Atlântico.
Por exemplo, de acordo com o Clarifying Legal Overseas Use of Data Act (CLOUD), as autoridades dos EUA podem exigir que os provedores de armazenamento nacionais lhes dêem acesso às informações mantidas em seus servidores, mesmo que esses dados estejam localizados no exterior.
Uma organização com sede na UE que usa um provedor de nuvem com sede nos EUA como AWS ou Azure, portanto, pode descobrir que alguns de seus dados – incluindo dados pessoais sobre clientes ou funcionários, por exemplo – podem ser disponibilizados para as autoridades dos EUA bisbilhotar.
É por isso que o Tribunal de Justiça da UE invalidou o esquema que estava em vigor para permitir que os dados pessoais fluíssem livremente entre o bloco e os EUA, chamado Privacy Shield, e determinou que, em vez disso, as organizações terão que implementar novos contratos de proteção à privacidade, denominadas Cláusulas Contratuais Padrão (SCCs) para cada transferência de dados.
Em alguns casos em que mesmo os SCCs são insuficientes, a troca de dados pode ser suspensa.
A EDPS, uma organização independente que monitora o processamento de dados pessoais pelas instituições da UE, tem observado de perto o impacto do Schrems II em alguns dos contratos que vinculam escritórios e agências europeus a empresas de tecnologia nos EUA.
“Identificamos certos tipos de contratos que requerem atenção especial e é por isso que decidimos lançar essas duas investigações”, disse Wojciech Wiewiórowski, Supervisor Europeu de Proteção de Dados.
“Reconhecemos que as EUIs (Instituições da União Europeia) – como outras entidades na UE/EEE – dependem de um número limitado de grandes fornecedores. seu prestador de serviços.”
Em particular, o vigilante da privacidade estará analisando os chamados contratos “Cloud II” acordados entre a UE e a Microsoft ou a Amazon para o uso de seus serviços em nuvem.
VER: Computação em nuvem: Microsoft apresenta novas opções de armazenamento de dados para clientes europeus
Quando os EUIs usam o Azure e o AWS, de fato, as informações pessoais dos indivíduos podem ser enviadas para fora da UE e para os EUA e, a menos que medidas apropriadas em conformidade com o GDPR sejam tomadas para proteger a transferência de dados, existe o risco de vigilância das autoridades .
Em outras palavras, a EDPS verificará agora se essas medidas compatíveis com o GDPR estão sendo tomadas por instituições do bloco.
“Apoiaremos ativamente as instituições da UE para responder às perguntas levantadas pelo Supervisor Europeu de Proteção de Dados e estamos confiantes em resolver quaisquer preocupações rapidamente”, disse um porta-voz da Microsoft ao ZDNet. “Continuamos comprometidos em responder às orientações dos reguladores e buscaremos continuamente fortalecer as proteções à privacidade do cliente”. A AWS não respondeu a um pedido de comentário.
As ameaças à privacidade representadas pela dependência dos serviços em nuvem de provedores de TIC estrangeiros há muito são sinalizadas pela AEPD: já em 2018, o órgão regulador da privacidade diretrizes publicadas para instituições da UE que destacaram a responsabilidade dos EUIs em garantir a proteção de dados pessoais na infraestrutura de nuvem.
A mensagem não passou despercebida. Recentemente, o Conselho Europeu de Proteção de Dados validou o uso de um novo “Código de conduta da nuvem da UE”, que atua como um padrão que certifica que um determinado provedor de serviços em nuvem está em conformidade com o GDPR. Microsoft Azure e Google Cloud, entre outros, já declararam adesão ao código de conduta.
Além do mais: desde a decisão do Schrems II, os provedores de nuvem se apresentaram para anunciar mudanças em sua política para melhor cumprir as restrições do GDPR. Tanto a Microsoft quanto Amazonas prometeram contestar os pedidos do governo de acesso aos dados dos clientes quando puderem. Quando exigido por lei, a Amazon também se comprometeu a divulgar o mínimo necessário de informações, enquanto a Microsoft disse que forneceria uma compensação monetária aos clientes afetados.
A Microsoft deu um passo adiante ao prometer permitir que os clientes da UE armazenem e processem a maioria de seus dados dentro da UE até o final de 2022, o que significa que os dados pessoais não precisariam mais ser enviados para os EUA.
Wiewiórowski reconheceu que ambas as empresas fizeram correções, mas, no entanto, disse que as medidas anunciadas podem não ser suficientes para garantir o cumprimento total da lei de proteção de dados da UE e ainda exigir uma investigação adequada.
“Não se trata apenas de lei, mas também de ética. Há muitos problemas sociais e econômicos decorrentes da dependência de apenas um punhado de empresas para sua infraestrutura crítica. Se elas não cumprirem as regras, sua privacidade nunca será protegidos”, disse Subhajit Basu, professor associado de direito de tecnologia da informação na Universidade de Leeds, ao ZDNet.
Mas há também uma dimensão política nas novas investigações, segundo Basu. A UE está cada vez mais interessada em reafirmar a “soberania digital” do bloco, especialmente quando se trata de infraestrutura de dados e serviços em nuvem.
A maior parte do mercado europeu de nuvem, na verdade, é controlada por hiperescaladores não europeus, com pesquisas recentes mostrando que mais da metade dos tomadores de decisão no continente usam AWS, Microsoft Azure, IBM Cloud e Google Cloud.
VER: GDPR: multas aumentaram 40% no ano passado e estão prestes a ficar muito maiores
Em uma tentativa de recuperar o controle sobre a infraestrutura digital do bloco, os líderes da UE estão tentando desenvolver uma iniciativa de nuvem doméstica chamada GAIA-X, que aderirá aos princípios europeus de proteção e transparência de dados – mas o projeto está parado e ainda permanece muito atrás dos gigantes da nuvem baseados nos EUA.
“Trata-se do futuro dos serviços de nuvem e de garantir que a UE tenha sua participação no mercado de nuvem”, diz Basu. “O mundo todo está na nuvem hoje em dia, mostrando a importância de se ter uma infraestrutura em nuvem.”
Além de investigar o uso de serviços de nuvem baseados nos EUA pelos EUIs, a EDPS também está investigando o uso do Microsoft Office 365 pela Comissão Europeia – outro ponto crítico para o vigilante da privacidade, dado que mais de 45.000 funcionários de instituições da UE são usuários do gigante de Redmond produtos e serviços.
No ano passado, a AEPD publicou um primeiro conjunto de recomendações relacionadas com a utilização da suite da Microsoftincluindo o imperativo de saber exatamente onde os dados estão localizados, quais informações são transferidas para fora da UE e se estão protegidas por salvaguardas adequadas.
Para Basu, a medida está de acordo com o objetivo principal de proteger melhor a privacidade dos cidadãos da UE e com o objetivo subjacente de restabelecer a soberania digital do bloco e o controle sobre os dados pessoais de seus residentes.
“O que me surpreende é que a AEPD tenha demorado tanto para iniciar uma investigação”, diz Basu. “Isso é bom para os cidadãos da UE, mas era necessário e deveria ter sido feito antes.”
source – www.zdnet.com