Henrique Carreiro em 2015-11-01
O framework safe harbour viola, afinal, a Diretiva Europeia de Proteção de Dados, como consequência da vigilância indiscriminada levada a cabo pela National Security Agency (NSA) americana.
A coisa mais fácil do mundo é a autoilusão; cada homem acredita no que quer, embora a realidade seja, frequentemente, diferente.
Demóstenes (384-322 AC)
O framework safe harbour — que deveria assegurar que as transferências de dados da União Europeia para os Estados Unidos estão em conformidade com a legislação de privacidade de dados da Europa — viola, afinal, a Diretiva Europeia de Proteção de Dados, como consequência da vigilância indiscriminada levada a cabo pela National Security Agency (NSA) americana. Esta é a opinião do advogado-geral do Tribunal de Justiça da União Europeia, Yves Bot, emitida no passado mês de Setembro, e cujos pareceres são geralmente seguidos pelo TJUE.
O caso subiu ao TJUE, depois da entidade irlandesa responsável pela proteção de dados ter rejeitado uma queixa de um cidadão austríaco, que alegou que, no seguimento das revelações de Edward Snowden, os dados por ele disponibilizados ao Facebook, e que foram transferidos da subsidiária irlandesa para os Estados Unidos sob os auspícios do safe harbour, não estavam, de facto, adequadamente protegidos. No seu parecer, o advogado-geral concordou que o safe harbour não cumpre as diretivas de proteção de dados, devido à possibilidade de acesso massificado da NSA a dados pessoais de cidadãos da União Europeia.
Apesar do caso ter origem no Facebook, as implicações alastram-se a outras empresas. Na prática, os maiores fornecedores de serviços de cloud, incluindo a Amazon, a Microsoft e a Google, dispõem de operações e centros de dados no espaço europeu. Segundo o artigo 25º da Diretiva Europeia de Proteção de Dados (95/46/EC), a transferência de dados para outro país só é permitida se o país de destino puder proporcionar uma proteção adequada dos dados pessoais. Ao transferirem dados da Europa para os EUA e estando esses dados sujeitos a serem acedidos pela agência americana, é todo o princípio do safe harbour que é colocado em causa.
Embora a opinião seja não vinculativa, e a decisão final do TJUE possa vir a surgir só daqui a uns meses, é o suficiente para os fornecedores de serviços baseados em cloud e outras empresas de tecnologia terem que começar a preparar planos de contingência. Atualmente, 4.410 empresas americanas dispõem de uma certificação safe harbour, incluindo todas as principais companhias de TI. A lista abrange, para além das acima referidas, empresas como Adobe, Akamai, eBay, HP, IBM, Intel, Oracle ou Twitter. Caso o tribunal siga o parecer do advogado-geral Yves Bot, estas companhias terão que encontrar outra base legal para transferir dados das União Europeia para os Estados Unidos. Contudo, o processo para estabelecimento de uma nova base legal poderá ser morosa, e outras vias que vierem a ser seguidas estarão sujeitas a revisão e ratificação pelas entidades de cada país. Muitos clientes no espaço empresarial começarão a escrutinar com mais intensidade as questões legais sobre a privacidade dos seus dados.
Os fornecedores de cloud surgidos ou a surgir no espaço europeu têm agora a sua oportunidade de ouro para se implantarem e conquistarem rapidamente uma quota de mercado sustentável. Oxalá não a deixem fugir entre os dedos por desatenção ou, pior, o que tem sido uma falha capital de muitas empresas europeias de TI, falta de agilidade.
Henrique Carreiro
Docente de Cloud Computing e Mobilidade Empresarial na Nova Information Management School