Alguns fornecedores de serviços cloud foram postos em causa pela forma como acedem ou partilham a informação dos seus utilizadores. Contamos-lhe, então, quais os critérios que deve considerar antes de optar por um serviço

Os serviços de cloud que a Google oferece foram seriamente postos em questão com a publicação de Martin Shelton, antigo funcionário da empresa, que garantia que a empresa não só tinha a capacidade de aceder à informação que aloja nos seus sistemas, como a lê e analisa.

Além disso, a informação estaria ao alcance de Organismos dos EUA que precisassem da mesma, confirmando casos em que a Google cedeu informação. Esta última afirmação já não é novidade, pois em situações anteriores foi denunciada a cedência de dados pelo Governo dos EUA, por parte de empresas de alojamento em nuvem como a Apple, Yahoo, Facebook e Google. De facto, desde 2013, as revelações de Edward Snowden indicavam que a Agência Nacional de Segurança explorava o domínio dos serviços de internet dos Estados Unidos para espiar os cidadãos de todo o mundo.

Na mesma linha, nos últimos meses foi confirmado que a Google recolhe dados médicos de milhões de americanos, acedendo a informação detalhada de pacientes de uma das maiores empresas de saúde dos EUA.

O uso de fornecedores de serviços Cloud foi objeto de estudo pormenorizado por parte das autoridades de proteção de dados, onde, felizmente, prepararam guias e recomendações quanto ao uso deste tipo de serviços, tanto para o fornecedor que presta esses serviços, como para o responsável do tratamento de dados pessoas que os contrata.

Alguns aspetos chave na contratação dos serviços em nuvem são:

  • Estabelecer claramente no contrato com o prestador de serviço a legislação aplicável. Isso refere-se a se os clientes/responsáveis pelo tratamento de dados pessoais estão sujeitos à legislação espanhola e europeia, a relação jurídica com o prestador de serviços estará sujeita ao Regulamento Europeu de Proteção de Dados (RGPD) e a legislação local de cada região. A determinação da lei aplicável é, assim, uma questão que não está disponível para as partes. A aplicação da legislação espanhola não pode ser modificada contratualmente.
  • Especificar no contrato a localização geográfica dos dados, sendo recomendável que seja dentro do espaço europeu. É considerada uma garantia adequada que o país de destino ofereça um nível de proteção equivalente ao do Espaço Económico Europeu e tenha sido acordado pela Agência Espanhola de Proteção de Dados ou por Decisão da Comissão Europeia.
  • Exigir ao fornecedor de serviço esclarecer as possíveis subcontratações do alojamento de dados pessoais. Nesse caso, estas subcontratações devem garantir o cumprimento do contrato principal.
  • Refletir no contrato as garantias para a portabilidade, ou seja, a real possibilidade de os dados pessoais possam ser devolvidos ao cliente, ou que este possa solicitar que sejam transferidos para um novo prestador de serviços que tenha escolhido no momento em que conclua o fornecimento deste.
  • É necessário definir o canal e o procedimento de comunicações para quebras de segurança que possam ocorrer no âmbito do fornecedor e que afetem os dados do responsável pelo tratamento, bem como os prazos necessários para as comunicações, condicionados aos prazos legalmente estabelecidos para tal.
  • O prestador de serviços cloud deve assegurar mecanismos para a eliminação dos dados assim que se tenha concluído a relação contratual.
  • Exigir medidas de segurança através do cumprimento de normas, como a ISO 27017 e ISO 27018, o esquema nacional de segurança – traduzidas no guia 823 Segurança em ambientes Cloud – ou a matriz de controlos de segurança da Cloud Security Alliance.

Em casos específicos como o setor bancário, a European Banking Authority definiu um conjunto de recomendações direcionadas à contratação de serviços na nuvem, que são obrigatórias desde 1 de julho de 2018, e que abordam cinco áreas chave: a segurança dos dados e sistemas, a localização dos dados e o tratamento dos mesmos, os direitos de acesso e auditoria, a subcontratação, os planos de contingência e as estratégias de saída.
Não é de estranhar que a EBA aconselhe as entidades bancárias a ter especial atenção ao celebrar e administrar acordos de externalização celebrados fora do espaço europeu, devido a possíveis riscos de proteção de dados e a riscos de supervisão efetiva por parte da autoridade supervisora.

Em caso de dúvida, na Sothis ajudamos os nossos clientes a determinar e estabelecer as medidas de segurança e contratuais necessárias no âmbito da proteção de dados pessoais e o cumprimento da legislação europeia – GDPR – e espanhola, bem como a normativa setorial aplicável.