A soberania dos dados significa controlo total e transparência sobre todos os movimentos e armazenamento de dados. Isto pode tornar-se uma tarefa hercúlea quando se utilizam serviços na cloud, mas existem soluções comprovadas.
As empresas que consideram a digitalização como o seu principal desafio empresarial conhecem a importância e os riscos da proteção de dados. Estes incluem a falta de controlo sobre os dados pessoais, bem como informações insuficientes sobre a utilização e o tratamento dos dados. Isto é especialmente verdade quando se utiliza a computação em cloud, onde os dados são transferidos e armazenados muito rapidamente em muitas entidades. No entanto, todos os requisitos de conformidade devem ser cumpridos também neste domínio. O BSI emitiu uma diretriz que afirma, entre outras coisas: “Se os dados forem recolhidos, processados ou utilizados na cloud, devem ser protegidos de acordo com os regulamentos aplicáveis (conformidade). Estes podem ser requisitos do Regulamento Básico de Proteção de Dados (DSGV), da Lei das Telecomunicações (TKG), do Código Fiscal (AO) quando se processam dados relacionados com impostos, do Código Comercial (HGB) quando se processam dados relacionados com contabilidade e do Código Penal (StGB)”. A responsabilidade pela conformidade recai sobre o utilizador da cloud. As violações podem levar a coimas ou mesmo ter consequências criminais. Os membros do conselho de administração ou os diretores executivos podem até ser pessoalmente responsáveis.
A implementação e o cumprimento contínuo de todos estes requisitos requerem normalmente medidas técnicas e organizacionais significativas. Especialmente para as empresas altamente regulamentadas, como os prestadores de serviços financeiros e de saúde, isto pode levar a atrasos nos projetos ou a riscos imponderáveis. Por isso, algumas empresas de serviços de TI oferecem agora um “serviço gerido de proteção e privacidade de dados” que minimiza, tanto quanto possível, os atrasos e os riscos de conformidade ou até os elimina completamente.
Hiperescaladores e DSGVO: Sim, mas …
A utilização de fornecedores de serviços de computação em cloud dos EUA é particularmente discutida. Há muito tempo que existe insegurança jurídica neste domínio no que diz respeito à conformidade com o RGPD. Mas a poeira está a assentar. Por exemplo, em março, o Comité Europeu para a Proteção de Dados (EDSA) publicou o seu parecer sobre o projeto de decisão de adequação do Quadro de Privacidade de Dados UE-EUA (EU-U.S. DPF). Nesse parecer, foram feitos muitos progressos em relação ao acordo que o antecedeu, o chamado Escudo de Proteção da Privacidade. Acima de tudo, foram abordadas as críticas do TJCE ao acórdão Schrems II. Isto inclui o estabelecimento de um novo mecanismo de recurso que criou uma proteção jurídica eficaz para os titulares de dados na UE.
O Comissário Federal para a Proteção de Dados e a Liberdade de Informação (BfDI), Ulrich Kelber, congratulou-se com as melhorias. “Constatamos a vontade de criar um nível de proteção adequado para as pessoas cujos dados pessoais são transferidos para empresas nos EUA. Há progressos claros, especialmente no domínio do acesso do governo para fins de segurança nacional”, escreveu no seu comentário. No entanto, continua cético: “Temos dúvidas quanto ao facto de a nova regulamentação garantir um nível de proteção equivalente às normas de proteção de dados da UE em todos os aspetos”, é a sua objeção. Em resumo, os requisitos de conformidade são considerados cumpridos desde que os dados não saiam da jurisdição da UE.
A encriptação só é útil se a chave for mantida em segurança
A encriptação tornou-se uma ferramenta importante para a proteção de informações pessoais e confidenciais. Mas há dois inconvenientes: em primeiro lugar, mesmo os dados encriptados podem ser facilmente comprometidos se a chave se perder. Em segundo lugar, sem uma chave, não há acesso aos dados; é como se não houvesse dados nenhuns. Por conseguinte, a gestão correta das chaves é fundamental para a segurança. Num inquérito realizado pela Entrust, 56% dos inquiridos afirmaram que a gestão de chaves era um processo difícil.
Os especialistas consideram a gestão de chaves externas (EKM), que melhora o nível de confidencialidade dos dados, como uma solução particularmente segura. Aqui, uma chave criptográfica é armazenada fora da plataforma de cloud em módulos de segurança de hardware (HSM) num centro de dados separado. Isto significa que o fornecedor de serviços de computação em cloud não tem acesso às chaves KMS (chaves geridas pelo cliente).
Conclusão
Os conceitos de proteção de dados devem garantir a necessária soberania dos dados – também quando se utilizam serviços em cloud. Isto inclui que o modo de utilização seja tão transparente como o local onde os dados são armazenados. As melhores práticas podem ser utilizadas para controlar a residência dos dados, de modo a que estes apenas sejam processados e armazenados na UE. Além disso, devem ser utilizadas precauções de segurança informática e procedimentos de cifragem para impossibilitar o acesso aos dados por pessoas não autorizadas. Com estas medidas básicas, muitos requisitos legais, como o RGPD, já são frequentemente cumpridos.