As ofertas de computação em nuvem (“cloud computing”) cresceram significativamente nos últimos anos, porém a partir do uso desses serviços surgem novas questões em termos jurídicos e de gerenciamento de riscos no contexto da LGPD.
O termo “computação em nuvem” refere-se à transferência de dados para servidores espalhados na rede mundial de computadores, gerenciados por fornecedores diversos (Google; Amazon; Microsoft; IBM, etc…). O modelo econômico associado é semelhante ao aluguel de recursos de TI com cobrança de acordo com o consumo.
Veja também: Blog Solere – O que é um controlador de dados de acordo com a LGPD?
A gama de ofertas de serviços de nuvem experimentou um forte desenvolvimento nos últimos dez anos, principalmente por meio do armazenamento e edição on-line de documentos ou mesmo redes sociais, por exemplo.
A computação em nuvem representa para as empresas uma grande evolução de seus serviços de TI e oferece muitas vantagens, principalmente a de agrupar os custos de hospedagem e operações.
Veja também: Blog Solere – LGPD e o compliance: como as empresas devem se adequar?
Entretanto, as questões de segurança são particularmente delicadas no contexto da computação em nuvem, pois os dados são transferidos fora dos locais do controlador, em servidores que podem ser localizados em outros países e que são controlados por terceiros subcontratantes.
A padronização de ofertas e o uso de contratos de adesão para formalizar os contratos dos fornecedores da nuvem com seus clientes deixam pouco espaço para negociação. Além disso, muitas vezes os provedores fornecem poucas informações aos seus clientes sobre as medidas técnicas e organizacionais implementadas para garantir a segurança e a confidencialidade dos dados tratados em seu nome.
Veja também: Blog Solere – A LGPD e o home-office: como garantir a proteção de seus dados?
Desta forma, é importante que os controladores assegurem que as transferências de dados pessoais para os provedores de serviços de nuvem e os contratos que preveem tais serviços estejam de acordo com a Lei Geral de Proteção de Dados Pessoais – LGPD. É necessário analisar em cada caso se (i) os servidores dos serviços de nuvem estão localizados em países adequados; (ii) se os contratos preveem normas de adequação à LGPD e (iii) estão previstas regras para responsabilização no caso de vazamento ou riscos aos dados pessoais tratados.
Em conclusão, este texto procura tratar sobre os perigos relacionados ao armazenamento de dados pessoais na nuvem (“cloud computing”) no âmbito da LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Unsplash