Multicloud e LGPD: um desafio a mais

O tráfego de dados pessoais pode potencializar vulnerabilidades que a tecnologia ainda não superou/Pixabay
Opinião
O tráfego de dados pessoais pode potencializar vulnerabilidades que a tecnologia ainda não superou/Pixabay
Por
Japyassú Resende Lima*
December
15
/ 2020

Compartilhar no RRSS

Para receber nossa newsletter diária
inscreva-se aqui!
Sistema multinuvem traz vantagens e até evita certas modalidades de violação.
Fecha de publicación: 15/12/2020
Etiquetas: multicloud, LGPD, Brasil, Sistema multinuvem, PRIVACIDADE

Para receber nossa newsletter diária inscreva-se aqui!

 

A Lei Geral de Proteção de Dados (LGPD) é de 2018 e deveria ter entrado em vigor em agosto de 2020. Mas tantos foram os movimentos dali e daqui que o cenário só foi definido com a aprovação da Medida Provisória nº 959/20 e sua conversão no Projeto de Lei de Conversão nº 34/20. Assim, a LGPD começou a vigorar em 18 de setembro, exceto quanto às penalidades nela previstas, aplicáveis somente a partir de 1º de agosto de 2021.

 

Com isso, e a despeito de o prazo original de adaptação à LGDP ter sido suficientemente longo, muitas organizações ainda correm contra o tempo. O problema é que há muito a fazer. Mesmo porque a adaptação é um processo, não um evento.

 

Não bastassem as dificuldades de alinhamento desafios surgem a cada esquina. Um deles é como conciliar as normas da LGPD à cloud computing. E mais: como fazê-lo num ambiente multicloud, que ganha espaço, ao argumento de que, distribuídos os dados em mais de um ambiente lógico, estariam mais protegidos e menos sujeitos a violações. Além do custo, que pode ser atraente quando se trata de armazenamento híbrido, em que os dados são processados em mais de uma plataforma e cada uma delas é compartilhada entre usuários.

 

Embora o conceito varie, um regime multinuvem implica a utilização simultânea de vários provedores de nuvem pública para a entrega de serviços computacionais como os aplicativos. Além disso, multicloud também pode significar o uso de serviços interligados ou distintos.

 

Mas por que motivos sua popularização a olhos vistos? O custo é um deles. E não se trata apenas de quanto dinheiro se pode despender para comprar o serviço, mas sim de quanto retorno pode ele gerar, já que seus usuários pagam apenas por aquilo de que de fato precisam. Outro motivo é a combinabilidade de serviços. Provedores têm ampliado sua capacidade de ofertar gestão de dados numa velocidade muito maior do que aquela que as empresas podem imprimir a seu gerenciamento interno e isso permite que as organizações utilizem, associadamente, o máximo que podem e o melhor que os provedores ofertam. Por fim, a flexibilidade: o dinamismo da nuvem pública está sempre um passo adiante daquilo que a empresa, por si mesma, pode fazer.

 

Evidentemente, o modelo multicloud é muito diferente do tradicional. Nesse último, a ideia é uma solução de tratamento baseada numa matriz e seu respectivo backup, de forma a possibilitar restaurações subsequentes, o que ajuda a lidar com problemas de violação e corrompimento. No modelo multinuvem, a oferta está em propiciar um tratamento de dados supostamente desvinculado da base original, o que, ao criar um intervalo lógico, colocaria os dados em câmaras não comunicantes, aumentando o grau de proteção sobre eles.

 

Seja como for – e mais agora com a LGPD – a multinuvem precisa ser olhada com atenção.

 

Primeiro, em termos pragmáticos. Cada nuvem (single cloud) é uma extensão lógica da capacidade (potencialidade) de tratamento de dados da controladora. Ainda que em ambiente externo, a nuvem serve ao tratamento de dados que estão sob a responsabilidade da empresa. O que ocorre é que ela divide esse tratamento com um terceiro, fazendo dele um co-controlador de dados e, em certos casos, também um processador.

 

Mas quando se fala de multiambientes lógicos estamos falando em compartilhamento de dados. Dessa forma, a empresa que contrata um provedor de nuvem pública compartilha com ele dados pessoais que gerencia e repete o processo para cada provedor cujo serviço compra. Com isso, no regime multicloud, ocorre multicompartilhamento, seja entre a empresa e suas nuvens, seja entre as nuvens, mesmo porque, em certos casos, a organização pode querer que uma nuvem se comunique com outra, ou com todas, a fim de permitir a interoperabilidade do tratamento.

 

Ao dispor sobre compartilhamento, a LGPD (art. 5º, inc. XVI) o considera uma modalidade de tratamento por detrás dos conceitos de “utilização”, “transmissão” e “transferência” (art. 5º, inc. X), sem os quais o compartilhamento não é possível.

 

Num sistema multinuvem a base de provedores diferentes ou num mesmo provedor de serviços distintos o compartilhamento cria alguns pontos de atenção para a compartilhadora.

 

Primeiro, é bom que ela se assegure de que os dados pessoais que compartilha não foram coletados sob consentimento (LGPD, art. 7º, inc. I), mas por outra base legal. Isso porque não é raro que provedores de serviço em nuvem estabeleçam restrições, inclusive financeiras, à retirada de dados de suas bases. Ora, o consentimento pode ser cancelado a qualquer momento pelo titular, o que, num ambiente multicloud, pode trazer dificuldades operacionais e elevados custos para a controladora. E isso fica mais complexo se os dados são sensíveis, pois, nesse caso, além de um consentimento definido e específico, a controladora fica impedida de compartilhar dados de saúde do titular para fins econômicos (LGPD, art. 11, §4º).

 

Segundo, a controladora precisa estar atenta ao princípio da rastreabilidade. Considerando que o titular tem direitos como acesso aos dados, correção, atualização e até eliminação (LGPD, art. 18), é esperado que quem compartilha dados deve saber onde e com quem estão, de forma que possa dar ao titular, no prazo legal ou razoável, uma resposta à sua solicitação.

 

Terceiro, é boa prática que entre as entidades compartilhadora e compartilhada haja um acordo de compartilhamento (Personal Data Sharing Agreement, ou PDSA), acompanhado do que se conhece como “termos de restrição”, que podem ser descritos num acordo de privacidade (Personal Data Privacy Agreement, ou PDPA).

 

Quarto, em se tratando de serviços multinuvem, ou híbridos, é recomendável que a controladora tenha seu protocolo de compartilhamento (Personal Data Sharing Protocol, ou PDSP), documento, vinculado à política de dados, que estabelece as condições em que dados pessoais podem ser compartilhados com terceiros.

 

O sistema multinuvem traz vantagens e até evita certas modalidades de violação. Todavia, o tráfego de dados pessoais pode potencializar vulnerabilidades que a tecnologia ainda não superou. Justamente por isso uma boa prática é – antes que o compartilhamento se torne massivo – a elaboração de um DPIA (Data Processing Impact Assestment), uma avaliação prévia e consistente, cobrindo os dados a compartilhar, a finalidade, riscos e o planejamento para enfrentar violações.

 

O que é preciso? Uma boa análise das interações da LGPD com o regime multicloud, e, é claro, cercar-se das cautelas documentais recomendadas pelas boas práticas.

 

*Japyassú Resende Lima é sócio de Corporativo e Estratégico (Data Privacy, LGPD/GDPR, Regulatório, Transportes, Logística, Infraestrutura e Investimentos) do Lopes Pinto, Nagasse Advogados Associados.

 

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

O conteúdo da © LexLatin, incluindo todas as suas imagens, ilustrações, designs, fotografias, vídeos, ícones e material escrito, é protegido por direitos autorais, marcas registradas e outros direitos de propriedade intelectual, e é publicado para seus assinantes e leitores apenas para fins informativos. A reprodução, modificação, cópia, distribuição, republicação, transmissão, projeção ou exploração de qualquer forma dos materiais ou conteúdo publicado pela LexLatin não é permitida, a menos que o interessado obtenha a autorização por escrito da LexLatin.