A contratação da Microsoft para a
prestação de serviços da Plataforma de Justiça Digital do Tribunal de Justiça
de São Paulo trouxe a discussão sobre a segurança das informações em serviços
de computação em nuvem e o mito da necessidade de armazenamento local (em um
servidor físico no Brasil) para supostamente garantir maior segurança e
cumprimento das obrigações de privacidade e de proteção de dados pessoais dos
brasileiros, ou de que se trata de um modelo tecnológico menos seguro.
Não é a primeira vez que esse tipo de
argumentação é colocada em evidência na tentativa de desqualificar o uso do
modelo de computação em nuvem. A mesma discussão já foi enfrentada no Brasil
por ocasião do projeto de lei que originou o Marco Civil da Internet (Lei
12.965⁄2014) e também a Consulta Pública 57⁄2017, do Banco Central, sobre a
regulamentação de cibersegurança e computação em nuvem no sistema financeiro.
Em ambos os casos, tanto o Congresso Nacional quanto o Banco Central, levando
em consideração os princípios de segurança, inovação e desenvolvimento
tecnológico, entenderam que tanto a obrigação de armazenamento local quanto a
proibição de contratação de computação em nuvem representariam um retrocesso no
país.
Nem o Marco Civil da Internet
tampouco a Resolução CMN 4.658⁄2018 obrigaram que as entidades, públicas ou
privadas, armazenassem seus dados no Brasil, mas, ao contrário, ambos
permitiram que essas entidades se utilizassem de sistemas de computação em
nuvem disponíveis globalmente, os quais garantem segurança, resiliência e
integridade dos dados. Ademais, está claro no Marco Civil da Internet que a
legislação brasileira se aplica às empresas, brasileiras ou estrangeiras, que
coletem, armazenem e tratem dados pessoais no território brasileiro; no caso de
estrangeiras desde que ofertem serviços ao público brasileiro, ou pelo menos
uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
No que tange aos aspectos de
segurança cibernética trazidos pela Resolução CMN 4.658⁄2018, fica, ainda,
fácil de observar que funcionalidades presentes no modelo de computação em
nuvem na verdade auxiliam as instituições contratantes a estar em conformidade
com a regulação e melhor preparadas para garantir segurança para suas
operações.
Cada vez mais as empresas e governos
têm adotado a computação em nuvem no âmbito global, por apresentar benefícios
aos sistemas de operação e gestão de dados e informações, tais como como
recursos de segurança e proteção de dados; escalabilidade; acesso por qualquer
dispositivo, a qualquer tempo; aumento da capacidade computacional de forma
quase imediata, entre outros. Vejamos as principais características de
computação em nuvem:
Segurança. Ao contrário das empresas
que possuem o departamento de TI como acessório ao negócio, para os provedores
de computação em nuvem a segurança cibernética é o aspecto primário de seu
negócio. Os investimentos em pesquisas e desenvolvimento de segurança,
implementação de testes e de dispositivos de proteção de dados são vultosos,
chegando, no caso da Microsoft, por exemplo, a aproximadamente 1 bilhão de
dólares anuais, com uma equipe de mais de 3,5 mil profissionais dedicados
integralmente à segurança e privacidade. Esses dados demonstram que, ao TJ-SP
ou a qualquer outro tomador de serviço, a migração para a nuvem possibilita ter
acesso ao sistema de segurança de ponta, desenvolvido por equipe internacional
altamente treinada e especializada em segurança cibernética e privacidade.
Como resultado, a Microsoft, assim
como outras provedoras de serviços cloud, apresenta extensiva cobertura de
certificados de compliance internacionais de segurança, tais como ISO/IEC
27001, o ISO/IEC 27017, o ISO/IEC 27018 e relatórios 1, 2 e 3 do Serviço de
Organizações de Controles – SOC. Além disso, a Microsoft á auditada,
periodicamente.
Redundância e Criptografia. A
principal característica do serviço de nuvem é a redundância do armazenamento
de dados, ou seja, a possibilidade de armazenamento backups em diversas
localidades, sobretudo em locais em que os data centers estejam seguros de
desastres naturais, incêndios, ataques de hackers etc., e, portanto, melhor
gerenciamento de risco e segurança. Essa particularidade permite, ainda, que os
serviços em nuvem fiquem menos vulneráveis a incidentes diversos.
Dessa forma, uma grande vantagem da
computação em nuvem é justamente o que é visto, pelos menos informados, como um
problema: a possibilidade de armazenamento de dados em diversas localidades
para a garantia da segurança do armazenamento e disponibilização do serviço,
além do alto poder computacional que este modelo possibilita.
Além disso, a computação em nuvem,
como aquela fornecida pela Microsoft, garante a criptografia de dados,
prevenindo acesso não autorizado.
Tal cobertura de gestão de segurança
de dados auxilia os próprios contratantes dos serviços de nuvem no cumprimento
das obrigações impostas pela Lei Geral de Proteção de Dados, ao garantir um
sistema robusto de segurança e privacidade e em conformidade com a legislação,
além de funcionalidades de gestão de dados e acesso que se adiantam às
exigências estabelecidas pela lei. Nesse sentido, vale lembrar que a própria
Microsoft é uma entidade com presença global e que se preocupa com a
conformidade do GDPR, fazendo valer o nível de proteção exigido pela regulação
europeia em seus serviços e plataformas, mesmo fora do continente — o GDPR foi
inspiração também para a edição da LGPD.
Avanço tecnológico e inovação. Os
serviços em nuvem pública — em especial aqueles no modelo de Plataforma como
serviço (PaaS) e Software como Serviço (SaaS) — permitem uma rápida atualização
de novas tecnologias e de segurança, inclusive em relação a sistemas de
segurança e privacidade, bem como oferecem, com frequência, novas
funcionalidades aos contratantes, para que fiquem alinhados com as tendências
de mercado em termos de infraestrutura tecnológica, benefícios aos usuários e
segurança.
Escalabilidade. A computação em nuvem
traz como uma relevante vantagem a possibilidade de flexibilidade quase que
imediata para o aumento ou redução do volume de dados armazenados, de acordo
com as necessidades dos contratantes. Eliminam-se os riscos envolvidos na
definição prévia da capacidade do serviço (ociosidade de recursos ou
insuficiência da capacidade).
Para a Plataforma do TJ-SP, a facilidade
de aumento ou redução, quase que imediatos, da capacidade do volume de
processamento e armazenamento de dados parece ser um dos grandes benefícios
trazidos pela computação em nuvem. Isso porque o aumento do número de processos
ou de acessos ao sistema em um determinado dia ou horário passa a ser
facilmente manejável na computação em nuvem.
Eficiência e Redução de Custos. A
contratação de serviço de nuvem pública permite, ainda, que as entidades
contratantes não precisem mais alocar parte do seu orçamento e do seu time para
a compra de hardwares e softwares a cada nova necessidade tecnológica e de
segurança, bem como para os processos de instalação e implementação de
infraestrutura, que abrangem arquitetura de sistema, aumento de capacidade
física, compra de energia para resfriamento dos data centers etc. O serviço de
nuvem dispensa esse gerenciamento de TI pelos contratantes, trazendo
considerável redução de custos operacionais aos contratantes e a possibilidade
de maior foco na busca por inovação em favor da operação da entidade.
Essas características demonstram que
não é à toa que a computação em nuvem vem ganhando cada vez mais adeptos, seja
dos setores público ou privado, em vista das garantias de segurança e
privacidade, eficiência na gestão de inovação e incorporação tecnológica,
redução de custos e escalabilidade.
Por fim, é importante desmistificar o
CLOUD Act norte-americano citado em tantas publicações sobre o tema. O CLOUD
Act não regulamenta serviços de computação em nuvem em si, mas é uma sigla para
Clarifying Lawful Overseas Use of Data. Por meio desse ato, regulamenta-se medidas
de acesso a dados em servidores nos EUA e fora dos EUA para fins de
investigação e law enforcement. Evidentemente, o CLOUD Act não se sobrepõe nem
revoga a legislação brasileira de proteção de dados e privacidade.
Espera-se que a contratação da Microsoft
e o deslinde desse caso não sejam motivos para que o Brasil tenha retrocessos
na adoção da computação em nuvem, uma vez que isso já foi discutido e debatido
pelo órgão supremo de representação social, o Congresso Nacional, que entendeu,
por ocasião do Marco Civil da Internet, que não haveria interesse nacional (nem
mesmo de segurança) de obrigar os provedores de nuvem a manterem os dados de
brasileiros apenas no Brasil.
Marcel Leonardi é professor da
FGV-SP. Bacharel, mestre e doutor pela Faculdade de Direito da USP e pós-doutor
pela UC Berkeley School of Law. Advogado em São Paulo, Celso Mori é advogado em
São Paulo.
Revista Consultor Jurídico
0 comentários:
Postar um comentário