Lesley Meall, da Computerworld Reino Unido

• Tweet

No início, quando a cloud computing era sobre serviços de nuvem pública, muitos chefes do departamento financeiro ficaram receosos, devido à preocupação com a segurança de seus valiosos e críticos dados corporativos. Mas as coisas mudam - bem, algumas coisas.

Ao deixar nas mãos de terceiros, constatou-se que existiam riscos relevantes, apesar do potencial da nuvem em proporcionar benefícios aos negócios, como oportunidade de reduzir custos e gerar oportunidades estratégicas.

A nuvem tem evoluído. A cloud pública têm se unidos às nuvens privadas, e o uso das nuvens híbridas, e suas variações, está aumentando.

No entanto, os responsáveis pelas finanças continuam cautelosos. Uma pesquisa recente da Deloitte constatou que metade dos CFOs já adotaram a computação em nuvem ou planejam implementá-la dentro de dois anos, mas significativos 89% dos entrevistados ainda citam a segurança dos dados como o principal motivo para o atraso na sua adoção. Entretanto, a incerteza sobre a localização dos dados preocupava só 44% dos entrevistados, e questões legais foi mencionada por apenas 40% – e talvez seja necessário alterar isso.

"Esta é uma área complicada", diz o sócio do escritório internacional de advocacia Morrison Foerster, Alistair Maughan,.

A explosão na computação em nuvem tem elevado a utilização de prestadores de serviços, e alguns deles, por sua vez, utilizam provedores de terceiros para hospedar dados e criar backups, cuja localização física pode ser difícil de definir, assim como sob qual legislação estão submetidos e quais jurisdições que podem ser submetidas.

"De modo geral, a legislação aplicável é do país onde o responsáveis pelos dados estão localizados", afirma Maughan, mas há algumas exceções.

"Houve uma polêmica no início deste ano, quando a Índia emitiu regras que pareciam sugerir que a lei daquele país se aplicaria aos dados tratados pelos fornecedores indianos em nome dos clientes ocidentais", diz ele.

Muitos provedores de serviços de cloud computing e juristas ficaram preocupados se isso resultaria em regras adicionais e mais restritivas sobre leis nacionais que já são aplicadas a dados pessoais que são transferidas offshore do Reino Unido, da União Europeia  (UE) ou dos Estados Unidos.

Ignorância não é justificativa

"O governo indiano esclareceu que esta não é sua intenção", diz Maughan, que ainda informa que a China e as Filipinas estão entre os países que estão atualmente desenvolvendo suas próprias leis de privacidade de dados, de modo que os CFOs terão que acompanhar a evolução.

No Reino Unido, o Data Protection Act 1988, baseado na Data Protection Directive de 1995 da UE estipula que os dados pessoais não devem ser transferidos para um país ou território fora do Espaço Econômico Europeu – a menos que o país ofereça um nível adequado de proteção – nem sempre são levadas em consideração durante o processo decisório quando são adotados serviços baseados em nuvem.

Às vezes isso acontece porque o dinheiro vem de orçamentos dos departamentos, e é gasto por pessoas que não estão cientes das implicações de suas ações.

"Um número pequeno de organizações está mais esperta em relação à segurança das informações e à soberania em seus contratos com fornecedores de cloud", relata o diretor de estratégia de segurança Imperva, Rob Rachwald, e podem até mesmo auditar seus fornecedores de serviços em nuvem.

"Vai melhorar, porque é uma coisa evolutiva", diz ele, mas no momento, a maioria das organizações ainda não chegou a este ponto. "Muitas vezes elas vão para a nuvem porque é mais barato, e acha que pode esquecer do hardware e do software", explica ele, "muitas organizações não pensam sobre questões como a segurança de dados ou soberania até que haja um problema. "

A cloud computing permite que você abdique da responsabilidade de um monte de processos, mas isso não inclui não saber se está, ou não, em conformidade com legislação de proteção de dados. Os usuários de serviços de nuvem tem que saber a localização física dos servidores em que seus dados estão sendo processados e armazenados.

Rachwald adverte que poder ser um desafio obter um acordo que obrigue contratualmente seu provedor de serviços a não transferir seus dados para outros países sem consulta prévia. Muitos fornecedores de serviços de cloud tem um modelo único de contrato e de acordo de serviços e não estão dispostos a mudar.

Alguns provedores de serviços de cloud procuram evitar que seus clientes tenham problemas com a legislação.

"Quando expandirmos dos EUA para a Europa, teremos um data center da UE", diz Eric Webster, vice-presidente de vendas de negócios com nuvem da Doyenz, empresa especializada em serviços de recuperação de desastres baseada em cloud.

Para garantir que os dados dos clientes europeus da Doyenz nunca saiam da Europa, a empresa tem um acordo global com a Internap, que irá fornecer seu data center localizado em Londres. A gigante Amazon Web Services também tem data centers em todo o mundo que atendem determinadas regiões. O da União Européia, por exemplo, usa os servidores que estão fisicamente localizados na Irlanda.

Ao alcance dos governos

No entanto, há situações em que a localização de seus dados parece ter menos impacto na segurança e em sua privacidade do que a nacionalidade da empresa que está armazenando ou processá-lo.

"A questão de saber se um governo ou autoridade pública pode ter acesso a dados que estão localizados fora da sua jurisdição nacional é um assunto quente neste momento", diz Maughan, devido ao alcance internacional da Patriot Act dos Estados Unidos.

"O governo norte-americano pode solicitar informações que estão sob a jurisdição ou controle de uma empresa dos EUA", explica ele, independentemente da localização física dos dados ou da nacionalidade dos seus proprietários e ele pode fazer isso de uma forma que parece minar o acordo Safe Harbor estabelecido entre Estados Unidos e UE.

O Safe Harbor foi introduzido em 2000 para fazer companhia às diretivas de proteção de dados da União Europeia (assim como às implementações nacionais, como o Data Protection Act do Reino Unido). Desde então, tem permitido a compartilhamento de dados entre a UE os EUA, mas apenas sob determinadas condições – tais como a garantia razoável de segurança – e são executados de forma clara e eficaz (a União Européia tem padrão de privacidade de dados superior ao dos EUA).

Mas no início deste ano, quando a Microsoft lançou o seu serviço de nuvem Office 365 no Reino Unido, explicou quanto a lei americana pode alcançar, o Patriot Act pode ser usado para forçar empresas norte-americanas a revelar, secretamente, dados dos cidadãos da UE.

Esta revelação tem incomodado alguns políticos da zona do Euro, incluindo Sophie in't Veld, deputada holandesa e vice-presidente de Liberdades Civis do Parlamento Europeu, Justiça e da Comissão de Assuntos Assuntos Internos, que está pedindo esclarecimentos.

"A Comissão Europeia deve deixar claro que as empresas e os cidadãos europeus operam sob as legislações européias, e que as instituições da UE podem impor suas próprias leis", afirmou em um blog no site do seu partido. Sophie sugere que as subsidiárias de empresas norte-americanas na Europa podem não obedecer a lei da EU por causa do Patriot Act.

Para Maugham não há um desequilíbrio de poder favorecendo os EUA.

"O governo do Reino Unido, assim como a maioria dos membros da EU, também pode ir a um tribunal e obter uma intimação para acessar dados de qualquer organização sobre as quais têm jurisdição," ressalta o advogado.

"Assim, enquanto o foco está no Patriot Act dos EUA, a maioria dos governos dos Estados membros têm poderes muito semelhantes."

Mas se você é um CFO cauteloso, que está considerando uma mudança para a nuvem, você pode sentir-se mais confortável selecionando, dentre as ofertas do Reino Unido ou de prestadores de propriedade da EU, o serviço que irá armazenar seus dados apenas no Reino Unido ou na União Europeia.

• Tweet