O armazenamento de dados em linha está em alta. Os líderes de mercado são, naturalmente, americanos. Com fornecedores como o Google Drive, o iCloud e o Dropbox, as empresas do outro lado do Atlântico estão a liderar o caminho.
No entanto, embora os seus serviços sejam de alta qualidade, não é certo que não sejam culpados de nacionalismo. Armazenar os dados da sua empresa em linha com prestadores de serviços americanos pode ser um erro grave.
Os Estados Unidos são atualmente a primeira potência mundial, quer em termos militares, económicos ou industriais. Ao fazê-lo, o seu governo arroga-se prerrogativas que tem todo o poder para impor a toda a comunidade internacional.
Neste caso, as leis americanas, como o Patriot Act e o Cloud Act, são o braço armado de uma política de governação aplicada aos cidadãos não americanos. Por outras palavras, em função das suas escolhas, a administração e a justiça americanas têm autoridade sobre si e sobre os seus dados.
Poderá pensar que os Estados Unidos da América, enquanto ponta de lança da democracia no mundo, têm o melhor sistema político, nomeadamente na sua teoria e prática constitucional dos pesos e contrapesos. Por outras palavras, a mais bem conseguida separação de poderes, tão cara aos teóricos do Estado como Montesquieu.
A realidade não é exatamente a mesma. As leis de vigilância em massa postas em prática pelos Estados Unidos desde a segunda metade do século XX, culminando no Cloud Act de 2018, parecem não só contrárias à sua Constituição, mas também à visão clássica do Estado de direito. Por outras palavras, qualquer outro Estado que introduzisse uma legislação deste tipo seria provavelmente classificado de imediato como um Estado policial.
É que, para além do Patriot Act e do Cloud Act, os Estados Unidos baseiam ainda o seu arsenal jurídico numa lei e num decreto presidencial: o Foreign Intelligence Surveillance Act e a Executive Order. À luz destes textos legais, vamos explicar-lhe porque é que armazenar os seus dados numa Cloud gerida por uma empresa americana é uma escolha arriscada. Para isso, vamos analisar a legislação que se aplicará a si, quando decidir dar o salto.
O que é o Patriot Act e como funcionam as suas condições de extraterritorialidade?
O Patriot Act é uma lei americana de segurança interna aprovada apenas 45 dias após os ataques de 11 de setembro de 2001. Por outras palavras, foi aprovada à pressa por um Congresso ainda traumatizado pelos acontecimentos de Nova Iorque.
O resultado é um cheque em branco dado às autoridades policiais para efectuarem investigações. Porquê? Porque, embora seja necessário um mandado de um juiz, este já não pode opor-se-lhe com o argumento de que não existe “causa provável”.
Consequentemente, todos os seus dados podem ser apreendidos sem que seja informado ou sem que um juiz americano se possa opor. Não pense que a Constituição dos EUA é uma grande ajuda, porque, de acordo com o Departamento de Justiça dos EUA, o Patriot Act limita-se a codificar a jurisprudência já reconhecida pelo Supremo Tribunal.
Em 1979, por exemplo, o Supremo Tribunal decidiu que o argumento de que as buscas secretas eram inconstitucionais era “frívolo”. Doze anos antes, já tinha decidido que os agentes da polícia não tinham de dizer ao arguido a razão, ou razões, de uma busca.
No entanto, a novidade do Patriot Act para uma empresa francesa ou europeia é a sua aplicação extraterritorial. Por outras palavras, a partir do momento em que a sua empresa é suspeita de ter ligações com um indivíduo ou grupo terrorista que ameace o território americano ou os seus interesses, todo o arsenal administrativo pode ser acionado contra si.
Não pense que pode escapar impune, mesmo que não tenha intenção de estabelecer ligações com grupos terroristas, ou com um cliente cujas ideias radicais lhe tenham escapado. Veremos que, na prática, o Patriot Act é muito menos claro do que parece. Antes disso, vamos analisar uma outra contrapartida em matéria de segurança: o Cloud Act.
O que é o Cloud Act?
O Cloud Act foi aprovado em 2018 para dar às autoridades norte-americanas maior acesso aos dados dos utilizadores de soluções de armazenamento de dados online.
Oficialmente, é apresentado pelo Departamento de Justiça como permitindo que as autoridades de países terceiros solicitem dados a qualquer empresa americana que os aloje, com o objetivo de obter acesso aos mesmos no âmbito de um processo penal.
Mais concretamente, permite que qualquer administração americana obtenha dados sobre qualquer utilizador, desde que estes estejam :
– armazenados nos Estados Unidos
– ou armazenados por uma empresa americana em qualquer país do mundo,
– tudo isto sem que ninguém saiba, para além da empresa solicitada e do departamento governamental em causa.
Este último ato legislativo americano não é o único instrumento ao serviço do governo dos Estados Unidos.
O que é a Foreign Intelligence Surveillance Act (FISA)?
A FISA foi aprovada em 1978 por um Congresso que pretendia regulamentar as práticas de vigilância das autoridades federais. Tal como o Patriot Act, esta lei procurou codificar as práticas existentes.
A secção 702, acrescentada em 2008, obriga as empresas americanas a facilitar a vigilância direccionada de uma pessoa fora do território dos EUA.
Esta lei visa especificamente os cidadãos não americanos suspeitos de possuírem, receberem ou comunicarem informações de interesse para a contraespionagem. O seu âmbito de aplicação, tal como o Patriot Act, tem como objetivo oficial a luta contra o terrorismo internacional.
Ordem Executiva 12333
A Ordem Executiva 12333, assinada por Ronald Reagan em 1981, é, como salienta o Washington Post, um documento que oferece possibilidades ainda maiores do que as da secção 215 do Patriot Act.
No entanto, desta vez, o decreto presidencial 12333 aplica-se apenas aos cidadãos americanos que vivem no estrangeiro. Isto permite que os serviços secretos americanos possam aceder aos seus dados se estiverem interessados num dos seus clientes americanos.
Ao abrigo deste decreto, todos os dados apreendidos pelas agências de informação dos EUA são-no sem qualquer mandado e, por conseguinte, sem qualquer controlo por parte de um juiz ou mesmo do Congresso.
Como vê, a lei nem sempre é a garantia do mais fraco contra o poder do mais forte. Está longe de proteger sempre as liberdades individuais ou, de uma forma mais geral, as liberdades públicas no seu conjunto. Sobretudo quando se trata da sua aplicação e, portanto, da sua interpretação.
O direito só existe através da sua interpretação
A compreensão correcta do direito nunca pode ser alcançada através da simples leitura da lei. Porquê? Porque é sempre impossível aplicar a lei literalmente. Por outras palavras, para compreender o alcance de um texto legislativo, é necessário compreender a sua aplicação. É este o problema que se coloca com o Patriot Act americano e o Cloud Act.
Quando o Patriot Act se refere a “atividade suspeita”, como se define essa atividade? O que é que este conceito abrange? Só através de uma interpretação é que uma determinada atividade pode ser descrita como suspeita. O problema é que cada administração interpreta esta lei à sua maneira, e em total secretismo.
Isto significa que, a partir do momento em que os seus dados são armazenados por uma empresa americana, todos os seus dados estão acessíveis à discrição de administrações como a CIA, a NSA e o Tesouro, para citar apenas algumas. É aborrecido, não é? E não pense que está imune a investigações só porque não é um criminoso ou um terrorista.
O principal objetivo deste arsenal jurídico não é caçar terroristas, mas sim distorcer a livre concorrência. Pensava que os Estados Unidos eram o modelo do comércio livre? Enganou-se.
Além disso, a recolha de dados não diz respeito apenas aos dados dos seus clientes. Não é por acaso que o Tesouro dos Estados Unidos também está interessado na recolha de dados. A FCPA mostrar-lhe-á que armazenar os seus dados digitais pode definitivamente custar-lhe caro.
A lei FCPA, ou o novo imposto para as empresas não americanas
A Lei sobre Práticas de Corrupção no Estrangeiro, aprovada em 1977, permite que os tribunais dos EUA condenem as empresas a pagar montantes consideráveis em sanções. Em 2014, a Alstom pagou 772 milhões de dólares, a Siemens 800 milhões em 2008, a Daimler 185 milhões em 2010 e a Alcatel-Lucent 137 milhões em 2010. Estes são apenas alguns dos montantes mais elevados.
Como é que acha que as provas são produzidas? Por todos os meios, incluindo através dos dados que tem na sua Cloud. Se pensa que está seguro porque não tem subsidiárias ou empregados nos Estados Unidos, deve saber que a FCPA se aplica logo que os interesses americanos estejam em causa. Mais uma vez, a noção de “interesses americanos” é suscetível de interpretação, e não é o seu que importa.
À luz de todas estas informações sobre a legislação americana, a opção de uma Nuvem gerida por uma empresa francesa ou europeia, em território europeu, parece mais do que interessante. No entanto, é ainda necessário fazer um balanço do famoso RGPD.
O RGPD, à luz do direito francês e europeu
O Regulamento Geral de Proteção de Dados (RGPD) foi adotado pela União Europeia para garantir a segurança dos dados que os utilizadores confiam na Internet a empresas que operam em solo europeu.
É importante analisar as obrigações impostas à empresa responsável pelo tratamento dos dados dos seus utilizadores e as sanções correspondentes, antes de compreender o seu papel na transferência de dados, nomeadamente para os Estados Unidos.
As obrigações do responsável pelo tratamento de dados
Em particular, o RGPD garante a proteção dos direitos das crianças no contexto da recolha de dados. Embora a recolha de dados relativos a uma criança com menos de 13 anos continue a ser proibida, para as crianças com idades compreendidas entre os 13 e os 16 anos só é permitida com autorização dos pais e se disser respeito a um serviço diretamente destinado a crianças.
O RGPD exige ainda que os responsáveis pelo tratamento de dados recolham apenas os dados estritamente necessários para a finalidade para a qual foram recolhidos e que assegurem a possibilidade de apagar os dados a pedido da pessoa em causa.
O cumprimento de todas as obrigações impostas pelo RGPD pode resultar na atribuição de um certificado pela autoridade de controlo. Este certificado é válido por um período renovável de três anos.
Para mais informações sobre os pormenores do RGPD, a CNIL (Commission Nationale de l’Informatique et des Libertés) publicou um guia em linha destinado às microempresas (MPE) e às pequenas e médias empresas (PME). Este guia ensina-lhe a fazer uma lista dos seus ficheiros, a ordenar os seus dados e a torná-los seguros.
O incumprimento das obrigações previstas no RGPD pode dar origem a sanções financeiras muito pesadas.
Sanções aplicáveis em caso de incumprimento
Em França, a CNIL intervém de três formas:
– na sequência de uma queixa dos utilizadores diretamente no site da CNIL,
– na sequência de uma inspeção ao sítio Web ou à empresa,
– na sequência de uma violação de dados.
A CNIL tem então à sua disposição um vasto leque de sanções, desde um anúncio público em Légifrance e no sítio Web da CNIL até uma sanção financeira que pode ir até 20 000 000 euros ou 4% do volume de negócios mundial do exercício anterior.
A CNIL aplicou uma coima de 150 milhões de euros à Google devido à sua política de cookies no Google e no Youtube. A CNIL criticou a empresa americana por não permitir que os utilizadores recusem os cookies com a mesma facilidade com que os aceitam.
No mesmo dia, 31 de dezembro de 2021, a CNIL também multou o Facebook em 60 milhões de euros pelas mesmas razões que a Google.
Estas pesadas sanções sublinham, por si só, a importância da questão da proteção de dados na Europa. No entanto, num mundo globalizado em que, nomeadamente na Internet, todas as redes penetram umas nas outras, a partilha de dados torna a articulação da proteção de dados algo complexa.
Do Privacy Shield ao Shrem II, o juiz torna-se o guardião dos dados pessoais
Os dados recolhidos na Europa podem ser transferidos para países terceiros. É o caso, nomeadamente, entre a Europa e os Estados Unidos, quando uma empresa-mãe transfere dados pessoais para uma filial ou para outro servidor.
De 2016 a 2020, a regulamentação aplicável a esta transferência de dados da União Europeia para os Estados Unidos foi regida pelo Escudo de Proteção da Privacidade. Tratava-se de um tratado bilateral que oferecia garantias aos utilizadores europeus relativamente ao tratamento dos seus dados pessoais nos Estados Unidos.
No entanto, esta garantia de proteção de dados não era tão eficaz do lado americano como o tratado queria fazer crer. Um advogado austríaco, chamado Schrem, levou o Facebook Ireland a tribunal, alegando que os seus dados pessoais, transferidos total ou parcialmente para os Estados Unidos, não estavam protegidos da mesma forma que os de todos os utilizadores da rede social.
O Tribunal de Justiça da União Europeia, num acórdão conhecido como Schrems II, deu razão ao queixoso e pôs assim termo ao Escudo de Proteção da Privacidade. Os principais argumentos do acórdão diziam respeito à facilidade com que as autoridades públicas americanas e os seus serviços de informações podiam aceder aos dados pessoais transferidos.
Em França, as associações insurgiram-se contra a recolha de dados pelo governo. Por exemplo, o Conseil d’Etat teve de se pronunciar sobre a parceria entre o governo e a plataforma Doctolib no âmbito das marcações de vacinação contra a Covid 19.
O Conselho de Estado rejeitou o pedido das associações, após ter verificado a qualidade da segurança dos dados, com o argumento de que não foram recolhidos dados médicos.
Do mesmo modo, associações como La Quadrature du Net contestaram junto do Conseil d’Etat o decreto de 25 de fevereiro de 2011 que impõe a conservação de dados digitais aos fornecedores de serviços Internet.
Os juízes administrativos rejeitaram os seus argumentos por motivos relacionados com a segurança nacional, a defesa dos interesses fundamentais da nação e a luta contra a criminalidade.
No entanto, as autoridades policiais europeias não podem requisitar um ISP ou uma empresa sem a autorização prévia de um magistrado. É este último que avalia a utilidade de tal pedido no contexto das investigações sobre as quais os investigadores lhe apresentam relatórios.
Conclusão
Em conclusão, a situação na Europa em matéria de tratamento de dados e de acesso a esses dados por parte das autoridades públicas, quer sejam da competência dos Ministérios do Interior ou da Justiça dos Estados-Membros da União Europeia, é muito regulamentada. Na Europa, não existem leis comparáveis às dos Estados Unidos.
Por conseguinte, se uma empresa desejar armazenar dados em linha utilizando soluções baseadas na nuvem, é importante selecionar um fornecedor de serviços europeu que armazene os seus dados em solo europeu.
Neste caso, é também importante verificar se a empresa não está a transferir os dados para uma filial sediada num país fora da União Europeia, especialmente nos Estados Unidos. Será muito difícil que as leis extraterritoriais americanas se apliquem a uma empresa sem ligações aos Estados Unidos.
O armazenamento de dados através de empresas americanas abre a porta à espionagem industrial e às práticas de concorrência desleal de alta tecnologia. Como vimos no caso da Siemens, da Alcatel-Lucent e da Alstom, o Governo dos Estados Unidos, apoiado pelos tribunais, não se deterá perante nada para enfraquecer a concorrência enfrentada por estas empresas.
Por isso, não andemos com rodeios.