A computação em nuvem consiste num modelo de prestação de serviços de tecnologias de informação e comunicação (TIC) fornecidos aos utilizadores a partir de servidores e instalações remotas, através da Internet.

É um serviço que oferece benefícios importantes para os utilizadores, entre os quais se destacam a possibilidade de redução significativa de custos, uma maior eficiência operacional, a flexibilidade na implementação e o acesso imediato aos sistemas de informação, aplicações e dados.

Através de serviços de computação em nuvem os utilizadores têm a possibilidade de externalizar toda, ou parte, da sua arquitectura de hardware de TIC (infra-estrutura como serviço, ou IaaS), sistemas operacionais e plataformas (plataforma como serviço, ou PaaS), ou aplicações de software (software como serviço, ou SaaS).

Nos próximos anos, a computação em nuvem irá desempenhar um papel essencial no domínio das TIC, uma vez que as empresas, cada vez mais, optam pela externalização dos seus serviços neste domínio por diversos motivos: necessitam, por vezes, de capacidade adicional temporária para necessidades particulares ou de explorar os sistemas de nuvem para fins experimentais; podem também ter interesse na utilização deste tipo de serviços como um "território neutro" para operações conjuntas com terceiros ou, ainda, de assegurar a continuidade de negócios em situações específicas ou de recuperação de “desastres”.

Quando se analisam os riscos da computação em nuvem, questões recorrentes prendem-se com a determinação da lei aplicável, as funções do responsável do tratamento e de subcontratante (processador), bem como a transferência internacional de dados. Mas a privacidade e a protecção de dados são, provavelmente, as que mais preocupações suscitam. Em particular, tópicos como confidencialidade e segurança têm um papel central na eficácia da protecção de dados.

A este respeito, saliente-se que o futuro Regulamento Europeu de Protecção de Dados, actualmente em discussão, dá grande destaque aos aspectos de segurança. Existem, também, outras iniciativas da União Europeia (UE) neste domínio, como é exemplo a discussão da adopção de uma directiva sobre Cibersegurança.

No que concerne ao direito europeu actual, o regime é o da implementação de medidas técnicas e organizativas "apropriadas", necessárias para proteger os dados pessoais de destruição acidental ou ilícita, perda acidental, bem como de alteração, acesso e qualquer outro tratamento não- autorizado de dados pessoais.

Falamos, assim, da implementação de políticas de segurança interna e medidas técnicas e organizacionais que protejam fisicamente os locais onde a informação é armazenada, bem como a protecção técnica e lógica dos sistemas contra hackers e usos não-autorizados.

No entanto, a legislação de protecção de dados da União Europeia e a legislação portuguesa que a transpôs não fornecem mais detalhes sobre os níveis de segurança em concreto. Especificam apenas que as medidas devem ter em conta o estado da técnica e os custos da sua aplicação e que essas medidas devem assegurar um nível de segurança adequado aos riscos do tratamento de dados a desenvolver e à natureza dos dados a serem protegidos.

Tal significa que os responsáveis pelo tratamento (e processadores) efectuam uma avaliação baseada no risco. Essa avaliação deve reflectir a natureza dos dados (existência de dados sensíveis), as possíveis ameaças (técnicas e outras) e os danos que poderiam resultar de uma violação de segurança.

Para o efeito, a existência de “normas” pré-definidas representa uma ferramenta importante para os clientes de serviços de computação em nuvem para determinar se uma solução é segura e confiável.

É o caso do recente sistema de certificação voluntária específico para a computação em nuvem, ISO/IEC 27018, divulgado pela Organização Internacional de Normalização (ISO) e pela Comissão Electrotécnica Internacional (IEC). Este código de práticas para a segurança no tratamento dos dados é dirigido a prestadores de serviços de computação em nuvem e baseia-se em padrões de segurança de informação existentes, como a ISO 27001 e ISO 27002, que estabelecem princípios de segurança da informação em geral.

Os objectivos da ISO/IEC 27018 são, essencialmente, quatro: (i) funcionar como uma ferramenta para os prestadores de serviços assegurarem a sua conformidade com as obrigações legais de protecção de dados aplicáveis; (ii) permitir que esses prestadores sejam mais transparentes na sua relação com os clientes; (iii) ajudar tanto os prestadores como os clientes na negociação de contratos de serviços de computação em nuvem; e, (iv) oferecer aos clientes destes serviços mecanismos de auditoria.

Esta norma, a qual se espera seja amplamente adoptada em 2015, veio assim responder aos apelos dos reguladores da UE para a introdução de uma estrutura de conformidade para processadores de dados em serviços de computação em nuvem, aumentando a confiança no recurso a estes serviços e na utilização do ambiente online e comércio electrónico.

Sócio da sociedade de advogados PBBR