O desenvolvimento avançado da tecnologia permitiu aos seres humanos contar com benefícios e vantagens que facilitam a vida cotidiana. O embargo expôs a informação a través de inúmeros meios eletrônicos e plataformas que coletam de forma direta e indireta os dados; es así como la huella digital que solicita el ingreso a un edificio inteligente, el uso de aplicaciones como Waze, que informa la geolocalización en tiempo real, las transacciones realizadas por internet de compra y venta de productos, así como los estados de ánimo compartidos em redes sociais, brindan un conjunto de datos que pueden ser recolectados y tratados para diferentes multas, según la necesidad de quien los captura.
Pode-se afirmar categoricamente que todo serviço que adentra o âmbito tecnológico acarreta um impacto no âmbito legal, onde é preciso analisar e determinar os riscos associados, em primeira instância, à incerteza gerada pela perda de controle sobre os dados hospedados na internet, e, no presente caso, as dúvidas geradas sobre o tratamento de dados pessoais nos serviços de Cloud ou cloud computing.
Proteção de dados com Cloud Computing
Os serviços de computação em Cloud ou cloud computing são aqueles que, seguindo o conceito do Instituto Nacional de Padrões e Tecnologia (NIST - National Institute of Standards and Technology. U.S. Department of Commerce), são definidos como o “modelo que permite, quando solicitado, o acesso ubíquo e conveniente à rede, a um grupo compartilhado de recursos computacionais configuráveis (Ex. redes, servidores, armazenamento, aplicações e serviços) que podem ser provisionados e liberados rapidamente com um mínimo esforço de administração ou interação por parte do provedor de serviços”.
O Serviço de Cloud pode ser dividido em três tipos de serviços: IaaS, PaaS e SaaS, cada um com diferentes escopos de controle do usuário, segurança e escalabilidade.
Por ser um espaço virtual que permite sua gestão remota através da rede de Internet, não deveria gerar dúvidas sobre a privacidade ou proteção de dados pessoais, visto que o responsável pelo tratamento dessa informação deve mitigar os riscos associados a este tipo de serviço.
Dado que este artigo não visa abordar conceitos técnicos, focaremos em identificar a importância do tratamento dos dados pessoais para determinar seu alcance nos serviços de nuvem.
Tratamento de dados na Colômbia
A lei estatutária colombiana 1581 de 2012 define dados pessoais como: “c) Dado pessoal: Qualquer informação vinculada ou que possa ser associada a uma ou várias pessoas naturais determinadas ou determináveis”. Nas palavras da entidade responsável pela vigilância e controle do tratamento de dados pessoais na Colômbia; esta aponta: “Quando falamos de dados pessoais, referimo-nos a toda informação associada a uma pessoa e que permite sua identificação. Por exemplo, seu documento de identidade, local de nascimento, estado civil, idade, local de residência, trajetória acadêmica, profissional ou de trabalho. Existe também informação mais sensível, como seu estado de saúde, suas características físicas, ideologia política, vida sexual, entre outros aspectos”.
Sobre este último conceito, de forma mais ilustrativa, são apresentados exemplos de dados classificados como pessoais e, adicionalmente, é incorporada a clarificação de uma categoria mais especial que contém informações e/ou dados sensíveis, os quais são considerados uma categoria de atenção crítica, visto que seu tratamento inadequado pode gerar discriminação e afetar os direitos fundamentais; por exemplo, em países fundamentalistas, uma base de dados pessoais que contenha informações detalhadas sobre a corrente religiosa poderia atentar contra a própria vida de seus habitantes.
A lei 1581 de 2012 menciona os princípios reitores do tratamento de dados pessoais; a seguir, detalha-se, sob oito termos, a legalidade em matéria de tratamento de dados, a finalidade, a liberdade, a veracidade ou qualidade, a transparência, o acesso e circulação restrita, a segurança e a confidencialidade dentro do alcance exposto no seguinte gráfico:
Pelo exposto, o contrato de Nuvem deveria indicar de forma transparente os controles e as medidas adotadas pelo provedor em termos de responsabilidade, acesso e circulação, segurança e confidencialidade, particularmente em relação a violações de segurança de dados, devolução e/ou eliminação da informação quando for o caso.
Seguindo a regulamentação colombiana, o legislador previu que, quando o tratamento de dados for realizado fora do território colombiano, o contrato deve contemplar a proteção contida no numeral 2.2.2.25.5.2 do Capítulo 25, Seção 5, do Decreto Único 1074 de 2015, de modo que o controle e a responsabilidade no tratamento de dados estejam sempre a cargo do Responsável, que estabelece o seguinte:
ARTIGO 2.2.2.25.5.2. Contrato de transmissão de dados pessoais. O contrato que o Responsável assinar com os encarregados pelo tratamento de dados pessoais sob seu controle e responsabilidade indicará os alcances do tratamento, as atividades que o encarregado realizará por conta do responsável para o tratamento dos dados pessoais e as obrigações do Encarregado para com o titular e o Responsável.
Por meio de tal contrato, o Encarregado se comprometerá a aplicar as obrigações do Responsável sob a política de Tratamento da informação por este estabelecida e a realizar o Tratamento de dados de acordo com a finalidade que os Titulares tenham autorizado e com as leis aplicáveis.
Além das obrigações impostas pelas normas aplicáveis dentro do referido contrato, deverão ser incluídas as seguintes obrigações a cargo do respectivo encarregado:
1. Realizar o Tratamento, em nome do Responsável, dos dados pessoais conforme os princípios que os tutelam.
2. Salvaguardar a segurança das bases de dados que contenham dados pessoais.
3. Manter confidencialidade em relação ao tratamento dos dados pessoais.
(Decreto 1377 de 2013, art. 25)
Sob a perspectiva da regulamentação sobre tratamento de dados, as empresas que fornecem serviços de Nuvem são usualmente os “Encarregados do Tratamento”, definidos pela norma como “Pessoa natural ou jurídica, pública ou privada, que por si mesma ou em associação com outros, realize o tratamento de dados pessoais por conta do Responsável pelo tratamento.
A SUPERINTENDÊNCIA DE INDÚSTRIA E COMÉRCIO atua como encarregada do tratamento de dados pessoais nos casos em que, por si mesma ou em associação com outros, realize o tratamento de dados pessoais por conta de um responsável pelo tratamento”.
Recomendações ao contratar um serviço de Nuvem
Pelo exposto, todo provedor de Nuvem deverá levar em conta as seguintes considerações, e da mesma forma o Cliente que requeira este tipo de serviços:
- Identificar o país e a jurisdição que regerá a proteção de seus dados pessoais, o que lhe permitirá saber quão rigorosas serão as medidas que o provedor tomará em relação à divulgação de informações a terceiros, confidencialidade e segurança das mesmas.
- Informar quando ocorrer qualquer grau de violação da informação e as medidas aplicáveis.
- Não realizar transferência internacional de dados pessoais a menos que isso seja autorizado e sob os preceitos legais definidos para tal fim.
- Uma vez finalizada a relação jurídica, devolver, eliminar, suprimir ou comunicar a um novo encarregado designado pelo responsável os dados pessoais objeto de tratamento.
