Boletim Jurídico nº 73 – Julho de 2024.  

Serviços em nuvem: quais critérios para cada escolha?

Desde a pandemia da Covid-19, tem havido um aumento na utilização de serviços em nuvem tanto no setor público quanto no privado.

Embora o quadro europeu nesta área esteja se tornando mais claro, muitas incertezas permanecem atualmente.

• Deveríamos escolher uma nuvem francesa e europeia que atenda aos requisitos de uma nuvem soberana?
• Quais são os riscos de confiar a gestão dos seus dados às empresas GAFAM?

Embora não exista uma definição legal de nuvem soberana, geralmente considera-se que ela deve garantir a soberania em três níveis fundamentais:

• Os dados,
• As operações,
• A infraestrutura.

A nuvem deve, portanto, apresentar um alto nível de requisitos em termos de segurança digital e proteção de dados, do ponto de vista técnico, operacional e jurídico, e mais especificamente uma competência exclusiva em território nacional.

Portanto, desconfie de alegações de uma "nuvem europeia soberana" feitas por empresas não europeias.

A França destaca-se na União Europeia devido aos seus requisitos particularmente rigorosos. especialmente desde a implementação da estrutura SecNumCloud e a adoção, em 21 de maio, da lei SREN, que visa proteger e regulamentar o espaço digital.

Esta lei exige que as administrações estaduais e seus operadores que utilizam um serviço de nuvem fornecido por um provedor privado implementem critérios específicos de segurança e proteção para a operação de sistemas de computador que processam dados de particular sensibilidade.

O objetivo é impedir qualquer acesso não autorizado a dados por parte de autoridades públicas de países terceiros.

Isso é particularmente relevante considerando a Lei da Nuvem (Cloud Act), que autoriza os serviços de segurança dos EUA a acessar dados mantidos por empresas localizadas fora de seu território sem autorização prévia.

Essas obrigações estão em consonância com o espírito da doutrina da "nuvem no centro", desenvolvida pelo Estado francês para suas administrações.

Embora não sejam obrigatórias para o setor privado, continuam sendo úteis como recomendações, especialmente quando se trata do processamento de dados sensíveis, por exemplo, na área da saúde ou da pesquisa.

E quanto ao desenvolvimento de serviços em nuvem em outras partes da Europa?

Existem muitos serviços de qualidade disponíveis, por exemplo, na Alemanha e na Suíça.

No entanto, parece que a noção de nuvem soberana é frequentemente interpretada de forma mais ampla do que no contexto francês: o modelo alemão define como soberana qualquer nuvem localizada no território da UE, comercializada por uma empresa europeia, com funcionários que sejam cidadãos da UE e requisitos de segurança específicos em relação ao acesso aos dados, mesmo que o serviço de nuvem seja, na prática, oferecido por uma subsidiária de uma empresa americana, por exemplo.

Essa é a direção que o projeto de Certificação de Serviços em Nuvem da União Europeia (EUCS) está tomando atualmente.

Em sua versão mais recente, datada de março, este projeto "já não permite que os provedores demonstrem que protegem os dados armazenados contra qualquer acesso por uma potência estrangeira, ao contrário da qualificação SecNumCloud na França".

É nestes termos que a CNIL adverte a nova Comissão Europeia, chefiada por Ursula Von Der Leyen, envolvida no processo de tomada de decisão relativo ao EUCS.

Entre os motivos apresentados para justificar a remoção dos requisitos de soberania do projeto estão as possíveis acusações de protecionismo por parte dos Estados Unidos ou da China.

A CNIL, por sua vez, lamenta, além dos riscos de violação de dados pessoais, o impacto dessa revisão para baixo dos requisitos europeus no estímulo à oferta de serviços em nuvem na Europa.

Dada a atual incerteza no cenário europeu, a estrutura SecNumCloud constitui uma referência útil, especialmente para o processamento de dados sensíveis ou estratégicos. 

O site da ANSSI publica a lista de serviços em nuvem qualificados como "SecNumCloud": ela contém, atualizada em 17 de julho, uma lista de 14 serviços em nuvem que atendem aos requisitos de qualificação e outros oito em processo de qualificação.

Independentemente do quadro SecNumCloud, outros serviços de nuvem europeus continuam atrativos em comparação com seus concorrentes internacionais, dado o contexto jurídico atual.

Embora o nível de proteção de dados nos Estados Unidos seja atualmente considerado adequado, vale lembrar que os dois primeiros acordos UE-UE foram anulados pelo Tribunal de Justiça da União Europeia e que Max Schrems, que iniciou as duas primeiras ações, pretende submeter o "quadro de privacidade de dados" ao mesmo destino.

 

         

Em suas conclusões de 11 de julho, o Advogado-Geral do Tribunal de Justiça da União Europeia (TJUE) decidiu sobre a necessidade de processar dados relativos ao sexo ("Sr. ou Sra.") para a prestação do serviço ferroviário da SNCF.

Como a coleta desses dados é obrigatória nos formulários da SNCF, o Conselho de Estado, acionado pela associação Mousse, questionou o Tribunal de Justiça da União Europeia (TJUE) sobre se essa coleta poderia ser fundamentada no Artigo 6.1.a (consentimento) ou no Artigo 6.1.b (necessário para a execução de um contrato) do RGPD.

Segundo a Assembleia Geral, tal tratamento não é necessário para a prestação do serviço, uma vez que não se trata, neste caso, de vagões separados para homens ou mulheres, e a SNCF reconheceu que não utiliza sistematicamente essa informação na sua comunicação com os clientes.

O AG recorda, nomeadamente, a aplicação do princípio da minimização e menciona a decisão do "Bundeskartellamt", na qual o Tribunal declarou que "para que o tratamento de dados pessoais seja considerado necessário para a execução de um contrato, (...) deve ser objetivamente indispensável a uma finalidade que faça parte integrante da obrigação contratual a que o titular dos dados está sujeito.

O responsável pelo tratamento dos dados deve, portanto, ser capaz de demonstrar como o objetivo principal do contrato não pode ser alcançado caso o tratamento em questão não ocorra.

A Assembleia Geral conclui que o gênero do usuário não é necessário neste caso específico.

A Federação de Terceiros Confiáveis no Setor Digital publicou um "Guia de boas práticas para jornadas digitais e consentimento".

No contexto regulatório das assinaturas digitais, o objetivo é "garantir que a agregação de todos os componentes em uma cadeia de confiança estendida ao longo do processo forneça as evidências necessárias para demonstrar a consistência e a confiabilidade do processo a posteriori".

Em 21 de junho, o Conselho de Estado anulou parcialmente um decreto de 2021 relativo ao uso de drones pelas forças de segurança..

O Conselho de Estado considerou que certas disposições deste decreto violavam desproporcionalmente o direito ao respeito pela vida privada e à liberdade de reunião.

O uso de drones para filmar manifestações só pode ser autorizado se houver probabilidade de ocorrência de distúrbios da ordem pública e se as imagens gravadas forem estritamente necessárias para prevenir tais distúrbios ou processar os responsáveis.

Além disso, as pessoas que estão sendo filmadas devem ser devidamente informadas sobre o uso de drones e seus direitos de proteção de dados (através da AFCDP).

O Conselho de Estado confirmou o direito dos doadores de gâmetas de se oporem, nos termos do artigo 21.º do RGPD, à transferência dos seus dados pessoais da organização onde efetuaram a doação para um registo central de doadores.

 

Instituições e órgãos europeus

Atualmente, está em curso uma disputa entre a Comissão Europeia e o Supervisor Europeu da Proteção de Dados (SEPD) relativamente à utilização do Microsoft Office 365.

De fato, a Comissão iniciou uma ação judicial em meados de maio para contestar as conclusões de uma investigação do CEPD (Serviço Europeu para a Proteção de Dados) sobre a sua utilização desses serviços.

O EDPS critica particularmente a Comissão por não ter fornecido garantias relativamente à transferência de dados para os Estados Unidos. 

Em seu contrato com a Microsoft, a Comissão também teria deixado de especificar suficientemente os tipos de dados pessoais coletados e as finalidades do processamento, violando o RGPD da UE.

O CEPD instou a Comissão a suspender as transferências em questão e a cumprir a lei até 9 de dezembro. As conclusões da Comissão foram publicadas em meados de julho no Jornal Oficial da UE.

Em 12 de julho, a Comissão Europeia enviou suas conclusões preliminares à X (antiga Twitter) sobre a conformidade com o Regulamento Europeu de Serviços Digitais (DSA).

O processo iniciado em dezembro de 2023 visa especificamente os "padrões obscuros", a transparência na publicidade e o acesso aos dados para pesquisadores.

Elon Musk já anunciou que irá contestar as conclusões da Comissão judicialmente.

Em sua sessão plenária de meados de julho, o CEPD adotou uma declaração sobre o papel das autoridades de proteção de dados (APD) no contexto do Regulamento de Inteligência Artificial.

O regulamento estipula que os Estados-Membros devem designar “autoridades nacionais de fiscalização do mercado” até 2 de agosto de 2025, com o objetivo de supervisionar a sua aplicação e implementação.

Segundo o CEPD, as autoridades de proteção de dados já possuem experiência em relação ao impacto da IA nos direitos fundamentais e, portanto, devem ser designadas como autoridades de fiscalização do mercado, garantindo assim uma melhor coordenação entre as diferentes autoridades reguladoras e maior segurança jurídica para todas as partes interessadas.

Cabe ressaltar que o regulamento sobre IA, publicado em 12 de julho no Jornal Oficial da UE, entrou em vigor em 1º de agosto.

O CEPD também adotou dois documentos (FAQs) relativos ao acordo entre a União Europeia e os Estados Unidos para a proteção de dados pessoais, a fim de fornecer mais detalhes sobre o seu funcionamento.

Esses documentos destinam-se tanto a pessoas físicas quanto a empresas.

Em 11 de julho, o Tribunal de Justiça da União Europeia (TJUE) tomou uma posição em um caso que opõe a empresa Meta a uma federação alemã de organizações de consumidores.

O Tribunal lembrou que a obrigação do responsável pelo tratamento de fornecer informações aos titulares dos dados é corolário do direito dessas pessoas à informação, nos termos dos artigos 12.º e 13.º do RGPD, e é, portanto, um dos direitos que podem ser exercidos por ação coletiva, em conformidade com o artigo 80.º, n.º 2, do RGPD.

O Tribunal observou ainda que a violação das obrigações de informação pode impedir o titular dos dados de dar um consentimento "informado" e, consequentemente, pode tornar o tratamento ilícito nos termos do artigo 5.º, n.º 1, alínea a), do Regulamento (via GDPRhub).

A Microsoft foi notícia em um contexto diferente no dia 19 de julho, quando uma de suas subcontratadas, a Crowdstrike, distribuiu uma atualização defeituosa para seu software de segurança Falcon Sensor.

Aproximadamente 8,5 milhões de computadores Microsoft Windows que utilizavam o software apresentaram falhas e não conseguiram reiniciar corretamente, no que foi descrito como "a maior interrupção da história da tecnologia da informação".

Do ponto de vista jurídico, a indisponibilidade de dados causada por tal falha constitui uma violação de segurança que exige a adoção de medidas ao abrigo, em particular, da diretiva europeia NIS2 (que será aplicável a partir de outubro próximo).

O Conselho Europeu de Proteção de Dados (EDPB) considera que isto também constitui uma violação de dados pessoais na acepção do RGPD, artigo 4.º, n.º 12, do regulamento, incluindo violações que resultem na perda acidental ou ilícita de dados.

Dependendo das consequências, isso implica notificação às autoridades de proteção de dados e às pessoas envolvidas.

Essa posição está sendo debatida atualmente, com alguns profissionais considerando que a indisponibilidade de dados não constitui uma perda nos termos do RGPD, enquanto outros citam as consequências, por vezes vitais, do bloqueio do acesso aos dados para as pessoas em questão.

 

Notícias dos países membros da Europa.

Um tribunal alemão decidiu que a Google Ireland Limited, enquanto operadora do motor de busca Google, é responsável pela exibição dos resultados da pesquisa, independentemente do fato de esses resultados serem fornecidos pela empresa americana Google LLC.

Na Dinamarca, a autoridade de proteção de dados repreendeu o Ministério da Imigração e Integração por violar o princípio da limitação do armazenamento, ao não cumprir sua própria política de retenção de dados.

Em decisão datada de 27 de junho, a Câmara de Litígios Administrativos da "Audiencia Nacional" espanhola decidiu que a Autoridade Espanhola de Proteção de Dados (APD) era competente para tratar de uma queixa apresentada contra a empresa americana Clearview AI.

O Tribunal baseou-se em decisões anteriores de várias autoridades de proteção de dados, incluindo as da autoridade italiana e a da CNIL de 26 de novembro de 2021, na qual identificou a Clearview como estando abrangida pelo artigo 3.º, n.º 2, alínea b), do RGPD.

A CNIL levou em consideração a busca realizada pela empresa Clearview por fotos na web, os URLs dessas fotos e seus metadados, o que permitiu identificar e criar um perfil detalhado das pessoas envolvidas e, portanto, rastrear o comportamento dessas pessoas.

Na Itália, a APD multou um responsável pelo tratamento de dados em 30.000 euros após uma violação de dados causada pelo uso de uma ferramenta de gestão de conteúdo (CMS) desatualizada e altamente vulnerável a ciberataques.

A Autoridade Lituana de Proteção de Dados (APD) multou a Vinted em 2.385.276 euros, considerando que as suas práticas de "exclusões ocultas" (que consistem em excluir um utilizador da plataforma sem o informar), bem como a sua omissão em responder aos pedidos de eliminação de dados, eram contrárias aos princípios da equidade e da transparência.

Neste caso específico, os demandantes, que eram da França e da Polônia, entraram em contato com as respectivas autoridades.

As queixas foram encaminhadas à autoridade lituana, que é a autoridade principal neste contexto, visto que a sede principal da Vinted está localizada na Lituânia.

No Luxemburgo, um tribunal confirmou a multa de 18.000 euros imposta pela Autoridade Australiana de Proteção de Dados (APD) a um responsável pelo tratamento de dados por não envolver diretamente o encarregado da proteção de dados (DPO) do grupo em questões de proteção de dados e por não lhe fornecer recursos suficientes.

A Autoridade Holandesa de Proteção de Dados (APD) multou o site Kruidvat.nl em 600.000 euros por instalar cookies de rastreamento sem o consentimento dos usuários.

A Autoridade de Proteção de Dados (DPA) também considerou que uma caixa pré-selecionada para aceitar cookies de rastreamento não constitui consentimento livre, específico, informado e inequívoco.

 

Em 19 de junho, a Autoridade de Proteção de Dados do Reino Unido (ICO) publicou sua decisão a respeito do aplicativo "My AI" do Snap e do cumprimento da obrigação de realizar uma avaliação de impacto sobre a proteção de dados (DPIA).

A decisão contém comentários detalhados sobre as expectativas do ICO em relação ao nível de detalhamento a ser incluído nas DPIAs em geral, bem como observações específicas no que diz respeito à IA de propósito geral e à IA relacionada a crianças.

Dado que a legislação britânica subjacente a estas disposições é praticamente idêntica à da UE, estas observações podem ser úteis para além do Reino Unido.

A ICO também divulgou um comunicado de imprensa em 30 de julho, afirmando que havia repreendido a Comissão Eleitoral por não proteger seus servidores, o que permitiu que hackers acessassem as informações pessoais de aproximadamente 40 milhões de pessoas.

Nos Estados Unidos, um projeto de lei sobre IA ("The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)") foi apresentado no Senado para combater os "deepfakes", aumentar a transparência da IA e dar mais poder aos criadores de conteúdo.

O Senado dos EUA aprovou a Lei de Segurança e Privacidade Online para Crianças no final de julho.

Este projeto de lei bipartidário combina vários projetos de lei relacionados à segurança, à proteção da privacidade online de crianças e adolescentes e à transparência na filtragem relacionada ao uso de IA.

O texto agora precisa ser aprovado pela Câmara dos Representantes.

Em comunicado datado de 23 de julho, a Comissão Federal de Comércio (FTC) indicou que ordenou a oito empresas que lhe fornecessem informações sobre produtos e serviços que utilizam dados pessoais, incluindo dados financeiros e histórico de navegação, para personalizar preços para indivíduos.

As ordens têm como objetivo ajudar a FTC a entender melhor o mercado opaco de produtos oferecidos por intermediários terceirizados que usam algoritmos avançados, bem como dados do usuário (localização, dados demográficos, crédito e histórico de navegação ou compras) para categorizar indivíduos e direcionar seus preços.

Embora o Google tivesse começado a eliminar gradualmente os cookies de rastreamento de terceiros do Chrome por meio de seu "sandbox de privacidade" (um sistema de rastreamento apresentado como amigável à privacidade, mas contestado em outros lugares), a empresa anunciou em 22 de julho que estava abandonando o projeto.

Em vez de remover os cookies de terceiros, o Google apresentaria "uma nova experiência no Chrome que permitiria aos usuários fazer uma escolha informada que se aplicaria a toda a sua navegação na web", uma escolha que poderia ser alterada a qualquer momento.

A agência britânica de ajuda ao desenvolvimento (ODA) manifestou seu pesar pelo abandono do projeto.

A lei de proteção de dados do Malawi entrou em vigor em julho.

O país se juntará à já longa lista de países africanos com leis de proteção de dados pessoais.

Além disso, o Observatório Africano de IA Responsável publicou, em março passado, um documento intitulado "Governança da IA Responsável na África: Perspectivas para uma Regulação Baseada em Resultados".