O que é Cloud Act e impactos para a sua empresa

A onda do General Data Protection Regulation (GDPR) mal passou e já chegou outra lei internacional, recém-saída do forno, para tirar o sono das equipes de segurança e TI das empresas. O nome da vez é Cloud Act.

Patrícia Peck, advogada especializada em direito digital, explica que por meio dela, presidentes e autoridades dos Estados Unidos, como o FBI, podem exigir dados de empresas de tecnologia dos EUA, como Google, Facebook, ou qualquer companhia que tenha seus dados armazenados nos EUA ou na nuvem sem a necessidade de um Tratado de Assistência Jurídica Mútua (MLAT, na sigla em inglês), que indica a assistência entre países em casos de investigações forenses.

Em entrevista ao IT Forum 365, Patrícia esclareceu os principais pontos dessa nova lei. Confira abaixo.

Como a Cloud Act surgiu?

Patrícia indica que o debate sobre uma lei nesse sentido teve início depois de acontecimentos envolvendo a questão privacidade versus segurança. Um dos casos mais emblemáticos foi o do atirador que invadiu um edifício em San Bernardino, na Califórnia (EUA), em 2016. Na época, uma juíza ordenou que a Apple desbloqueasse o acesso ao iPhone usado pelo autor do atentado, no qual 14 pessoas morreram. A gigante de tecnologia se negou a hackear o aparelho.

Outro exemplo citado pela especialista foi quando autoridades norte-americanas emitiram, sem sucesso, uma ordem judicial à Microsoft em busca de dados armazenados na nuvem da empresa na Irlanda.

As perdas nos tribunais fizeram com que o governo criasse a Cloud Act, em vigor desde abril deste ano, que permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam elas estrangeiras ou norte-americanas.

Para que serve?

Oficiais norte-americanos em qualquer patamar, ou seja, desde polícia local até agentes federais, poderão forçar empresas de tecnologia a entregar dados de seus usuários independentemente da localidade onde os dados sejam armazenados.

Também dá aos órgãos executivos o poder de estabelecer “acordos executivos” com outros países, o que pode vir a permitir que um país acesse dados armazenados em outro território, sem que haja observância das leis locais de armazenamento e privacidade. Esses acordos não exigem aprovação do Congresso.

Há conflito da Cloud Act com outras leis?

De acordo com a advogada, a resposta é sim. Há riscos de a medida conflitar com as regulamentações de proteção de dados pessoais tanto da Europa (GDPR) como do Brasil (LGPD) e outras regulamentações locais.

“Caso uma instituição financeira no Brasil contrate a nuvem de uma empresa com sede nos Estados Unidos, ela precisa respeitar o sigilo bancário da legislação nacional e se uma autoridade fora obrigar o fornecimento de dados de clientes, ela terá de fazê-lo”, indica ela.

“Mas se os dados estiverem criptografados por chave privada, a empresa fornecerá as informações da forma em que elas se encontram e para exigir chave precisará solicitar para cliente no Brasil. Mas se a companhia tiver contratado, além da nuvem, o processamento de dados e usa criptografia do serviço, ela tem a chave e no caso de solicitação de informação, o sigilo será quebrado”, explica.

Tratados internacionais resolveriam a questão?

Na visão de Patrícia, sim, e esse deveria ser o caminho natural. “Afinal, vivemos em uma sociedade sem fronteiras, que deveria ser regida por tratados internacionais e não leis locais. Se cada nação criar sua lei, cria conflitos”, observa.

Segundo ela, a criação de leis para cada país nesse sentido é um movimento que vai na contramão da globalização. “Soluções nacionalizadas para uma sociedade digital é insustentável no longo prazo”, completa.

Como ficar em linha?

Patrícia relata que a lei já afeta empresas no Brasil e para ficar em linha é preciso seguir alguns passos. O primeiro deles, diz, é realizar um diagnóstico de risco regulatório ao contratar nuvem de um provedor externo. “Essa análise inclui o tipo de atividade de negócio que será realizado e o fornecedor”, ensina.

Depois, é preciso fazer um mapeamento de quais regulamentações a empresa está sujeita, verificando de um lado risco e do outro compliance. “Com isso em mãos, identifique o mínimo que tem de seguir e se existe algum ponto fora da curva só em um local”, detalha. “Na hora de tomar decisão do projeto, a maioria das empresas o faz com base no preço e esquece do compliance. No final, a decisão de TI não pode ser só com base no orçamento, mas uma que atenda aos dois aspectos”, finaliza.