Dados Pessoais, Empresas e a Nuvem: Estamos prontos para isso?

by Digital Rights LAC on abril 6, 2015

Cloud computing

A tecnologia de computação em nuvem, tão desenvolvida em outras partes do globo, é incipiente na América Latina em geral, e na Argentina, em especial. No entanto, de acordo com estudos recentes (Usuaria Research, 2013), as empresas argentinas esperam um crescimento substancial na adoção da tecnologia em nuvem em 2015, especialmente na contratação de serviços de nuvem pública fornecidos por grandes empresas multinacionais, incluindo a Google, a Amazon, a Microsoft e a Rackspace, entre outras.

Por Valeria Milanés, Asociación por los Derechos Civiles

Além disso, as maiores preocupações levantadas sobre a adoção desta tecnologia estão relacionadas a privacidade e segurança de dados e informações, não apenas em relação à empresa em si, mas principalmente aos dados do cliente e do usuário.

Qual é a situação na Argentina? O regime legal dominante é a Lei N° 25.326 sobre Dados Pessoais, datada de 30 de outubro de 2000 (baseada quase palavra por palavra na legislação espanhola), modificada pela Lei 26.343 datada de 12 de dezembro de 2007, e o regulamento delas decorrentes, incluindo o Decreto Regulamentar N° 1558/2001, da mesma lei e todas as disposições emitidas pela autoridade de aplicação da lei, o Departamento Nacional de Proteção de Dados Pessoais (DNPDP, como é conhecido em espanhol). Também digno de nota é o artigo 43 da Constituição Nacional, bem como as convenções internacionais de natureza constitucional e aplicáveis de acordo com o art. 75 parágrafo 22 do mesmo conjunto de leis.

A lei argentina de proteção de dados pessoais é considerada uma das legislações de proteção de dados mais desenvolvida. Em primeiro lugar, esta lei estabelece a legalidade das bases de dados que estão devidamente registradas na DNPDP, onde “arquivo”, “registro” e “banco de dados” significam indistintamente o conjunto organizado de dados pessoais sendo tratados ou transformados, eletronicamente ou não, em qualquer condição, forma de armazenamento, disposição ou acesso.

A lei também determina os aspectos da qualidade dos dados, segurança e confidencialidade, o consentimento do titular dos dados, as condições aplicáveis para cessão e transferência de dados a nível internacional (incluindo em ambos os casos a responsabilidade compartilhada entre a pessoa responsável pelos dados e a contratante), os direitos do proprietário dos dados (com relação à informação, acesso, retificação, atualização, suspensão), habeas data, requisitos e procedimentos relacionados ao registro de banco de dados e sanções criminais, entre outras disposições. Em relação aos capítulos I, II, III, IV e artigo 32, a lei também estabelece a natureza da ordem pública, o que não é uma questão secundária, tendo em vista que a legislação de ordem pública não é negociável ou renunciável e isso significa que qualquer obrigação assumida de outra forma vai em contra da lei.

Por outro lado, com respeito à nuvem, grandes provedores multinacionais públicos de serviços de nuvem são conhecidos por fazer uso de contratos de adesão, os quais normalmente não contêm especificações estabelecidas pela Lei 25.326 e sobre os quais recai a lei aplicável e a jurisdição predeterminada do país onde estas empresas estão legalmente domiciliadas, principalmente cidades dos EUA. Além disso, às vezes até mesmo os servidores que armazenam as informações não estão na Argentina.

Digno de nota é que, como os Estados Unidos não possui uma legislação de Proteção de Dados Pessoais, o país é visto como um país sem uma proteção adequada aos padrões internacionais e nacionais. Isso tampouco é uma questão de menor relevância, porque a lei argentina exige a concessão de poder administrativo especial no caso de transferências internacionais de dados (conforme artigo 12 do Decreto Regulamento 1558/2001).

Além disso, a lei de dados pessoais é de aplicação e conformidade limitadas. Em 2012, por exemplo, depois de doze anos de serviço, o DNPDP havia registrado 20.000 bases de dados, em comparação com 1,6 milhões de bancos de dados registrados até essa data e no mesmo prazo pela Agência de Proteção de Dados espanhola.

Da mesma forma, as empresas argentinas não são conhecidas por adotar padrões internacionais de proteção de dados. Há poucas empresas locais que obtiveram a ISO 27001 e outras certificações de normas relacionadas, sem mencionar a recente norma ISO/IEC 27018, que trata especificamente das normas de segurança em nuvem e que somente agora está sob análise minuciosa de especialistas da área.

Desta forma, podemos concluir que a Argentina ainda tem um longo caminho a percorrer em termos de proteção de dados e que, a fim de implementar uma tecnologia em Nuvem de forma benéfica, é necessário que os setores público e privado cresçam de forma conjunta e responsável, com o objetivo de alinhar as práticas comerciais ao regime legal vigente.

Isso também vale para a região, a qual em um maior ou menor grau é composta por países que possuem regulamentos de proteção de dados pessoais. A questão continua a desafiar o Estado, o setor empresarial e os usuários que fornecem seus dados, onde se faz necessário ações para a implementação e cumprimento efetivo das leis e adoção de práticas empresariais responsáveis e legais para permitir que, a privacidade dos dados pessoais e garantias de segurança sejam preservados na medida do possível.

Crédito da imagem: (CC: BY) JD Hancock / Flickr