BLOGS

Fausto Macedo
Repórter

EM ALTA Operação Lava Jato Entrevistas Artigos

PUBLICIDADE

‘Cloud computing’ e privacidade

Thiago Luís Sombra*
02 de abril de 2019 | 05h00

A economia compartilhada tem como uma de suas marcas a projeção disruptiva de novas formas de bens e serviços, cuja
principal característica envolve a mudança de paradigmas e estruturas físicas. Dentre elas, a computação em nuvem ou
cloud computing representa um formato inovador na transferência, armazenamento e compartilhamento de dados, que
por meio da superação das limitações impostas pelas camadas físicas, permite conferir exponencialidade à gestão de
informações sob o controle dos usuários.

Além de ser uma ferramenta marcada pela disrupção e relativa convergência, as clouds atuam como meio de
empoderamento do usuário, na medida em que estimulam o armazenamento descentralizado em vários dispositivos, bem
como viabilizam o acesso em qualquer lugar, formatação e em larga escala.

Por essa razão, os benefícios proporcionados pelas clouds atingem diferentes setores do mercado e de maneiras
diferenciadas, com vantagens competitivas tanto para o setor público quanto privado, bem como funcionalidades
próprias para os usuários tais como (i) proporcionar um aumento da produtividade e menores investimentos em ativos
fixos; (ii) ampliar a gestão profissional e o acesso do consumidor a todas as aplicações em larga escala e qualquer lugar;
(iii) viabilizar melhores controles de segurança e configuração; (iv) assegurar mecanismos de atualização de sistemas
mais eficientes e funcionalidades personificadas; (v) conferir acesso a serviços sob demanda, por meio dos quais o
usuário configura as aplicações em nuvem de acordo com suas preferências; (vi) permitir o agrupamento de recursos de
computação para atender a vários usuários, com medição, alocação, realocação e redimensionamento dinâmico de
espaço de acordo com as demandas de armazenamento, transferência e gestão.

Ao mesmo tempo em que a ubiquidade, enquanto possibilidade de rompimento das fronteiras territoriais, representa uma
das externalidades positivas de mercado do emprego de clouds, por outro lado a forma de regulação ainda desperta
controvérsias. Na medida em que a principal característica das clouds advém da superação das limitações físicas d
armazenamento de dados, o arranjo regulatório ideal para disciplinar esse fenômeno deveria adotar como premissa a
aplicação extraterritorial das leis de proteção de dados, e não o excessivo apego às premissas do mundo físico.

Como forma de ilustrar os arranjos regulatórios de clouds, três modelos despontam como
os mais relevantes para compreender as particularidades dessa ferramenta: o data shard, o data localizaton e o data
trust.
O modelo Data Shard cloud é conhecido por permitir que uma empresa armazene informações em clouds em vários
locais. Nessa abordagem dinâmica, a própria rede distribui dados para servidores domésticos e internacionais, de acordo
com um processo de alocação estratégica de espaço. Um único arquivo pode ser dividido em componentes e
armazenado em diferentes países, de modo que a inteligência incorporada na arquitetura da rede atua para definir o
local para onde enviar e armazenar os dados. A arquitetura da rede se vale da sua própria inteligência para criar
eficiências operacionais.

No modelo Data Localization cloud, uma empresa armazena informações em uma nuvem restrita a um único país ou
região, em especial por conta de restrições legais ou regulatórias. Trata-se de um modelo de pouco aproveitamento da
redução dos custos e dos benefícios inerentes à ubiquidade e escalabidade das clouds, sem necessariamente assegurar a
segurança da informação pretendida.

Por fim, o modelo Data Trust cloud contém uma abordagem aprimorada de localização de dados. Como no modelo de
data localization, uma nuvem no formato data trust pode estar localizada em um país ou em uma única região, mas
comporta uma segregação entre gerenciamento de rede e capacidade de acesso aos dados. O modelo de Data Trust cloud
depende de construções legais e técnicas – fronteiras nacionais e instrumentos de confiança – e molda a tecnologia para
se adequar às categorias legais selecionadas. Essa abordagem pode ser usada para estabelecer tanto uma localização
extraterritorial de informação quanto um acesso extraterritorial a ela, o que demonstra a ampla dinamicidade desse
formato.

Com exceção do segundo modelo acima, os demais foram construídos sob o prisma da regulação extraterritorial de
clouds (geographically-based approach), a que mais se adequa a esse formato de armazenamento e transferência de
dados. Em linha com a aplicação exterritorial das leis gerais de proteção de dados recentemente aprovadas, cujo
objetivo é atingir os processos de transferências e armazenamento de dados em clouds, o Marco Civil da Internet
abandonou a necessidade de que empresas estejam estabelecidas no Brasil ou que os dados aqui sejam armazenados,
fenômeno conhecido como data residency request. Essa posição é, por sinal, registrada no voto do Ministro Benjamin
Zymler do Tribunal de Contas da União, quando da análise do formato de contratação de cloud computing pela
administração pública.

Na contramão da regulação mais moderna sobre o tema, atos normativos como a Portaria GSI n.º 9/2018 e o edital
57/2017 relativo à consulta pública do Banco Central para a edição da IN CMN 4658/18 e Circular Bacen 3909/19
almejaram revigorar o tema da territorialidade para impor exigências de armazenamento no país. No mesmo caminho,
aliás, seguiu a CVM com a consulta pública para a alteração da IN CVM 505/11. No entanto, na redação final da IN
CMN 4658/18 e da Circular Bacen 3909/18, o Banco Central abandonou a territorialidade (data residency request) por
perceber que essa perspectiva não necessariamente conferiria mais segurança e proteção aos dados pessoais. No mesmo
sentido seguiu o Ministério do Planejamento quando do lançamento da consulta pública para a atualização da IN 4/2014
. A CVM ainda não editou a nova instrução normativa que alterará a IN CVM 505/11, de modo que ainda não é possível
saber se persistirá com a proposta inicial acerca da territorialidade.

E na medida em que a lei não impôs restrições dessa grandeza por meio do Marco Civil da Internet ou da Lei Geral de
Proteção de Dados (LGPD), esses atos normativos secundários poderiam ser considerados ilegais ou inconstitucionais
por impor restrições não previstas em lei e instituídas por órgãos reguladores destituídos de competência para tanto.

Em linha com as mais modernas regulações sobre proteção de dados, a legislação europeia – General Data Protection
Regulation (GDPR) e a brasileira de proteção de dados (LGPD) optaram por adotar o regime da extraterritorialidade ao
invés de se ocupar de meras exigências territoriais que se demonstraram incapazes de apresentar soluções plausíveis
para regular as empresas de tecnologia e, em especial, os serviços de cloud computing em âmbito global.

Operações de tratamento de dados realizadas dentro do território brasileiro estão invariavelmente sujeitas à aplicação da
LGDP, assim como as operações que tenham por objetivo a oferta ou fornecimento de bens ou serviços a indivíduos
localizados no território brasileiro, ainda que a empresa responsável por essa atividade esteja sediada ou localizada fora
do país.

Com a adoção da perspectiva da extraterritorialidade da aplicação da lei, em detrimento das exigências de data
residency request, o regime jurídico de proteção de dados e as clouds se tornam duas faces complementares de um
processo regulatório dinâmico, eficiente e bem mais adequado às características particulares do ciberespaço. Em outras
palavras, as exigências de data residency request apenas representarão gargalos regulatórios que impactarão no
processo de inovação, no fluxo das transações comerciais, na melhor alocação de recursos e na obstaculização da
conversão de ativos físicos em digitais.

*Thiago Luís Sombra, certificado com o CIPP/Europe, é sócio da área de Direito Público e Tecnologia da
Informação do escritório Mattos Filho, doutor em Direito, Regulação e Tecnologia pela Universidade de Brasília,
chair da International Association of Privacy Professionals e secretário da Comissão de Economia Digital da
International Chamber of Commerce

NOTÍCIAS RELACIONADAS

Blockchains e as leis de proteção de dados: incompatíveis?

Sua empresa está preparada para se adequar à Lei de Proteção de Dados Pessoais?
O impacto das normas de proteção de dados pessoais na telemedicina
O direito de não ser digital
A Lei Geral de Proteção de Dados e os impactos nas companhias aéreas

Mais conteúdo sobre: Artigo Lei Geral de Proteção de Dados Pessoais

SIGA O ESTADÃO

PUBLICIDADE

Cupons Estadão PUBLICIDADE

Cupom de desconto Carrefour em 2019

Cupom de Desconto Carrefour 10% em Eletroportáteis

Cupom de desconto Americanas 2019

Cupom Americanas 20% de desconto em Livros

Cupom Fast Shop em 2019

45% em oferta na Fast Shop em Smartphones & Celular

PUBLICIDADE