Recentemente estive participando de um debate na Comissão de Estudos sobre Informática, Internet e Novas Tecnologias da ABDI (Associação Brasileira de Direito de Informatica e Telecomunicações) sobre os aspectos jurídicos que envolvem Cloud Computing. Entre os diversos assuntos abordados, destacou-se a questão da soberania de dados, principalmente quando usa-se nuvens públicas.
É uma questão de grande importância pois o uso de nuvens públicas muitas vezes pode entrar nas empresas, seja por uma aplicação SaaS ou por IaaS, para suportar projetos específicos e departamentais, sem mesmo o conhecimento da área de TI.
Um agravante é que como uma nuvem é globalmente acessivel, o aplicativo ou os servidores virtuais podem estar localizados em qualquer parte do planeta. Você pode adquirir um aplicativo SaaS sem ter idéia de onde ele estará operando com seus dados.
A questão da soberania de dados aparece como um issue pelo fato que determinados setores de indústria (como financeiro) e mesmo países demandam elevadas exigências de aderência ou compliance com obrigações regulatórias. Alguns exemplos são Austrália (http://tinyurl.com/3aux6qe) e Cingapura (http://tinyurl.com/3vv6no3) que recentemente emitiram diretivas com relação ao uso de cloud por instituições financeiras. Outras legislações ou normas como a Diretiva 95/46/EC da União Européia (http://en.wikipedia.org/wiki/Data_Protection_Directive) colocam algumas barreiras para o armazenamento de informações pessoais de cidadãos europeus em países que não estejam alinhados em termos de proteção legal com a própria União Européia. Um outro exemplo é o US Patriot Act (http://en.wikipedia.org/wiki/USA_PATRIOT_Act) que é visto por determinados países como um inibidor para armazenamento de informações de suas empresas em território americano.
O debate é intenso pois apesar destas restrições ou fatores inibidores, os impulsionadores para a adoção de nuvens públicas são significativos. A experiência nos tem mostrado que a evolução tecnológica evolui mais rapidamente que nossa capacidade de explorá-la e gerenciá-la. E os fatores regulatórios são bem mais lentos, pois eles acabam por regular os hábitos da sociedade. Como ainda não temos respostas que conciliem a oferta de nuvens globais com demandas regulatórias, veremos, na prática, surgirem aos poucos soluções conciliatórias. Um exemplo: provedores de nuvens criando data centers em diversos países do mundo, com a possibilidade do usuário determinar onde os seus dados residirão. Claro que será impossivel para um provedor global abrir data centers em todos os países, mas provavelmente veremos data centers nos principais países e regiões. Uma outra alternativa será vermos os provedores globais desenvolvendo parcerias com provedores locais, de modo a minimizar os efeitos das exigências regulatórias quanto à soberania de dados.
A questão da soberania de dados não será eliminada no curto prazo e talvez nem venha a ser no longo prazo. O que fazer então? Os CIOs não devem ignorar a realidade da computação em nuvem. Assim, se eles não conduzirem o processo poderão ter em mãos algumas bombas relógio, pois as nuvens entrarão nas empresas de qualquer modo. Portanto, desenhar uma estratégia e uma política de adoção de cloud computing será não só sensato, mas obrigatório. O primeiro passo será definir o que será localizado em nuvens públicas e o que ficará em nuvens privadas. Quando a opção de determinados serviços ou aplicações for pelas nuvens públicas, deverá ser explicitado se será necessário que os dados residam no território do país da empresa ou poderão estar em qualquer localização geográfica. Depende de cada serviço, pois nem todos os dados da empresa estão sujeitos as mesmas demandas regulatórias.
A conclusão do debate? Soberania de dados é uma questão importante, mas com uma adequada estratégia de adoção de cloud computing, que envolva a análise de riscos para cada serviço a entrar em nuvem, os problemas e seus efeitos podem ser minimizados ou eliminados. Portanto, a sugestão é ir em frente!
Cezar Taurion é head de Digital Transformation da Kick Ventures e autor de nove livros sobre Transformação Digital, Inovação, Open Source, Cloud Computing e Big Data.
You must be logged in to post a comment.
