Desenvolvimento do Cloud na Europa passa por conformidade com GDPR

07/06/2021 mindsecblog Artigos, LGPD & PRIVACY, Notícias 2

Desenvolvimento do Cloud na Europa passa por conformidade com GDPR. A EDPB aprovou em 20 de maio os Códigos de Conduta sobre prestadores de serviços em nuvem e infraestrutura em nuvem.

Os dois Códigos de Conduta recentemente aprovados para a indústria da nuvem, que serão abertos a todos os que desejam se inscrever, podem promover a adoção de uma tecnologia no coração da economia digital, após o sinal verde do Conselho Europeu de Proteção de Dados (EDPB – European Data Protection Board).

Os dois códigos foram desenvolvidos por líderes do setor para fornecer um plano para a conformidade com o regulamento de proteção de dados da UE, o GDPR, em um ambiente de nuvem e são os primeiros desse tipo a serem formalmente aprovados pelas autoridades europeias de proteção de dados.

“Saudamos os esforços feitos pelos proprietários dos códigos para elaborar códigos de conduta, que são ferramentas práticas, transparentes e potencialmente econômicas para garantir maior consistência entre um setor e promover o cumprimento da proteção de dados”, disse a presidente da EDPB, Andrea Jelinek

Captação da indústria

A computação em nuvem permite armazenar dados e software em uma rede de servidores remotos através da internet em vez de em seu dispositivo local, aumentando a flexibilidade no armazenamento de dados e acesso a maior poder de computador.

Também é econômico e permite o uso de outras tecnologias importantes, incluindo Inteligência Artificial, 5G e Internet das Coisas – uma referência comum a bilhões de dispositivos físicos em todo o mundo que agora estão conectados à Internet.

Em sua Estratégia Industrial atualizada, a Comissão Europeia indicou a computação em nuvem como uma área-chave de vulnerabilidade.

Apenas 36% das empresas da UE usam computação em nuvem e, geralmente, para serviços muito básicos, como armazenamento de e-mail. Como a incerteza sobre a aplicabilidade judicial e a proteção de dados são dois obstáculos principais, o fornecimento de orientações claras deve aumentar a aceitação do setor.

Os Códigos têm como objetivo aumentar a transparência e a confiança no mercado europeu de computação em nuvem, impulsionando a concorrência intra-provedores com base em princípios justos.

Ambos os Códigos instituem órgãos de monitoramento independentes que garantirão que sua aplicação seja compatível com o GDPR. Os órgãos de monitoramento fornecerão auditoria externa e serão credenciados pela autoridade de proteção de dados competente.

Business to customer

O Código de Conduta da Nuvem da UE ( CoC ) destina-se aos Provedores de Serviços de Nuvem para fornecer orientação em sua conformidade de proteção de dados e confiança segura de clientes de nuvem. Portanto, abrange Software as a Service (SaaS) e conta entre seus assinantes Alibaba Cloud, Cisco, Dropbox, Google Cloud, Microsoft e IBM.

Esses grandes players já representam uma parcela muito grande do mercado europeu de nuvem, e a adoção pelo mercado parece estar crescendo.

“Estamos obtendo centenas e centenas de downloads por dia, totalizando muitos milhares”, Jonathan Sage, Government and Regulatory Affairs Executive da IBM Europe, disse à EURACTIV.

Para Sage, o CoC fornece “o ponto máximo para provar a conformidade”, explicando que isso foi o resultado de uma longa negociação para encontrar um equilíbrio entre os interesses da indústria e os requisitos de proteção de dados.

Ele também apontou para a documentação de terceiros que os assinantes do Código precisarão fornecer, que mostra que o Código tem “dentes” para garantir a conformidade.

“O usuário ao escolher um serviço de nuvem que está sob o Código, pode ter certeza de que todas as questões relacionadas ao GDPR da perspectiva do cliente já foram abordadas: os controles de segurança certos por trás dele, os controles certos de gerenciamento de privacidade de dados. Assim, o usuário não precisa se aprofundar ”, acrescentou.

Business to business

O Código desenvolvido pelos Provedores de Serviços de Infraestrutura em Nuvem na Europa (CISPE – Cloud Infrastructure Services Providers in Europe) se destina a provedores de Infraestrutura como Serviço (IaaS) e conta com a Amazon Web Services como seu assinante principal.

O CISPE é um dos membros fundadores da GAIA-X , uma iniciativa franco-alemã sobre governança de dados e infraestrutura que tem obtido o apoio de instituições da UE e capitais europeias.

Embora a EDPB especifique que os códigos “não devem ser utilizados no contexto de transferências internacionais de dados pessoais”, o presidente do CISPE, Alban Schmutz, explicou que, graças ao Código, “os clientes poderão solicitar o armazenamento dos seus dados na Europa. ”

Desta forma, as empresas poderão evitar a incerteza criada pela decisão Schrems II que alterou o entendimento da Comissão de Proteção de Dados da União Europeia (Comissão Europeia) sobre o compartilhamento internacional de dados entre os Estados Unidos e a União Europeia

Para Schmutz, o código CISPE permitirá aos cidadãos da UE controlar os seus dados pessoais, uma vez que impõe transparência sobre o local onde os dados são armazenados e localizados. Em conformidade com os requisitos do GDPR, o código também impede que os provedores de serviços reutilizem os dados do cliente.

Schmutz também apontou para a relação entre a indústria da nuvem e a transição verde, pois “a tecnologia da nuvem reduz o consumo de energia por meio de economias de escala”. Os membros do CISPE se comprometeram a alcançar a neutralidade climática para seus data centers até 2030.