A onda do General Data Protection Regulation (GDPR) mal passou e já chegou outra lei internacional, recém-saída do forno, para tirar o sono das equipes de segurança e TI das empresas. O nome da vez é Cloud Act.
Patrícia Peck, advogada especializada em direito digital, explica que por meio dela, presidentes e autoridades dos Estados Unidos, como o FBI, podem exigir dados de empresas de tecnologia dos EUA, como Google, Facebook, ou qualquer companhia que tenha seus dados armazenados nos EUA ou na nuvem sem a necessidade de um Tratado de Assistência Jurídica Mútua (MLAT, na sigla em inglês), que indica a assistência entre países em casos de investigações forenses.
Em entrevista ao IT Forum 365, Patrícia esclareceu os principais pontos dessa nova lei. Confira abaixo.
Patrícia indica que o debate sobre uma lei nesse sentido teve início depois de acontecimentos envolvendo a questão privacidade versus segurança. Um dos casos mais emblemáticos foi o do atirador que invadiu um edifício em San Bernardino, na Califórnia (EUA), em 2016. Na época, uma juíza ordenou que a Apple desbloqueasse o acesso ao iPhone usado pelo autor do atentado, no qual 14 pessoas morreram. A gigante de tecnologia se negou a hackear o aparelho.
Outro exemplo citado pela especialista foi quando autoridades norte-americanas emitiram, sem sucesso, uma ordem judicial à Microsoft em busca de dados armazenados na nuvem da empresa na Irlanda.
As perdas nos tribunais fizeram com que o governo criasse a Cloud Act, em vigor desde abril deste ano, que permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam elas estrangeiras ou norte-americanas.
Oficiais norte-americanos em qualquer patamar, ou seja, desde polícia local até agentes federais, poderão forçar empresas de tecnologia a entregar dados de seus usuários independentemente da localidade onde os dados sejam armazenados.
Também dá aos órgãos executivos o poder de estabelecer “acordos executivos” com outros países, o que pode vir a permitir que um país acesse dados armazenados em outro território, sem que haja observância das leis locais de armazenamento e privacidade. Esses acordos não exigem aprovação do Congresso.
De acordo com a advogada, a resposta é sim. Há riscos de a medida conflitar com as regulamentações de proteção de dados pessoais tanto da Europa (GDPR) como do Brasil (LGPD) e outras regulamentações locais.
“Caso uma instituição financeira no Brasil contrate a nuvem de uma empresa com sede nos Estados Unidos, ela precisa respeitar o sigilo bancário da legislação nacional e se uma autoridade fora obrigar o fornecimento de dados de clientes, ela terá de fazê-lo”, indica ela.
“Mas se os dados estiverem criptografados por chave privada, a empresa fornecerá as informações da forma em que elas se encontram e para exigir chave precisará solicitar para cliente no Brasil. Mas se a companhia tiver contratado, além da nuvem, o processamento de dados e usa criptografia do serviço, ela tem a chave e no caso de solicitação de informação, o sigilo será quebrado”, explica.
Na visão de Patrícia, sim, e esse deveria ser o caminho natural. “Afinal, vivemos em uma sociedade sem fronteiras, que deveria ser regida por tratados internacionais e não leis locais. Se cada nação criar sua lei, cria conflitos”, observa.
Segundo ela, a criação de leis para cada país nesse sentido é um movimento que vai na contramão da globalização. “Soluções nacionalizadas para uma sociedade digital é insustentável no longo prazo”, completa.
Patrícia relata que a lei já afeta empresas no Brasil e para ficar em linha é preciso seguir alguns passos. O primeiro deles, diz, é realizar um diagnóstico de risco regulatório ao contratar nuvem de um provedor externo. “Essa análise inclui o tipo de atividade de negócio que será realizado e o fornecedor”, ensina.
Depois, é preciso fazer um mapeamento de quais regulamentações a empresa está sujeita, verificando de um lado risco e do outro compliance. “Com isso em mãos, identifique o mínimo que tem de seguir e se existe algum ponto fora da curva só em um local”, detalha. “Na hora de tomar decisão do projeto, a maioria das empresas o faz com base no preço e esquece do compliance. No final, a decisão de TI não pode ser só com base no orçamento, mas uma que atenda aos dois aspectos”, finaliza.
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…
A Microsoft está enfrentando críticas após um relatório revelar um aumento alarmante em suas emissões…
O Grupo Centroflora é um fabricante de extratos botânicos, óleos essenciais e ativos isolados para…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
Um estudo divulgado na segunda-feira (13) pela Serasa Experian mostra que a preocupação com fraudes…
A Honeywell divulgou essa semana a sexta edição de seu Relatório de Ameaças USB de…