CLOUD COMPUTING: IMPASSES LEGAIS E NORMATIVOS
SANTOS, Ana P. V.
Graduanda do curso de Bacharelado em
Sistemas de Informação – UNIESP
[email protected]
MACHADO, Marcos
Bacharel em Ciência da Computação
Especialização em Tecnologia e Sistemas de Informação - UNISANTA
Mestrando em Educação - UNISANTOS
[email protected]
RESUMO
Este artigo consiste em um estudo sobre o cenário mundial, com destaque para o
ambiente corporativo, onde se instala o modelo Cloud Computing. Nesse intuito,
analisamos as dificuldades na adoção desse modelo por parte das empresas, no que
tange à ausência de normas regulatórias. Nessa perspectiva, o presente artigo apresenta
suas viabilidades, bem como, os desafios a serem enfrentados por prestadores e seus
usuários. Os resultados demonstram que o modelo Cloud Computing se constitui em
uma solução economicamente viável, sendo necessário, no entanto, dirimir dúvidas com
relação à segurança da informação e a falta de uma regulamentação internacional.
Palavras-Chave: cloud computing, desafios, legislação.
Abstract
This article presents a study on the world scene, especially the corporate environment,
where it installs the Cloud Computing model. To that end, we analyzed the difficulties in
adopting this model for companies, regarding the absence of regulatory standards.
From this perspective, this paper presents their viability, as well as the challenges faced
by providers and their users. The results show that the Cloud Computing model
constitutes an economically viable and necessary, however, clarify doubts with respect
to information security and lack of international regulation.
Key words: cloud computing, challenges, legislation.
Introdução
Seja qual for o cenário, desafios relacionados à complexidade de manutenção e
gerenciamento da infraestrutura fazem parte do dia-a-dia de quem atua na área de TI.
Ano a ano, a complexidade da infraestrutura de TI vem crescendo, seja pelo
aumento dos ambientes, seja pelas exigências de adequação as normas legais e de
Ano 2, nº 1, p.16-105, nov 2010
governança, ou até mesmo pela necessidade de redução de custos, eficácia e integração
entre as áreas de negócios da empresa.
Reduzir custos virou um mantra na maior parte das organizações e
conseqüentemente, as áreas de TI passaram a buscar novas alternativas para endereçar
essa necessidade, justificando assim, o crescente aumento do interesse pela adoção da
Cloud Computing.
Muitas organizações colocam parte de sua infraestrutura na nuvem como forma
de aumentar os recursos destinados à pesquisa e desenvolvimento. Mas, a grande
maioria opta pelo modelo de Cloud Computing como forma de eliminar custos
relacionados aos ativos de TI, principalmente, no que tange, ao Data Center.
Assim, percebemos que inovar nos dias de hoje passou a ser uma necessidade
para a sobrevivência das organizações.
Ao contratarem serviços terceirizados especializados em Ti, as organizações
querem agilidade, flexibilidade, qualidade e inovação na implementação de
novos requisitos de negócios, buscando permanentemente uma melhor
relação custo-benefício em função da produtividade e dos ganhos em escala,
além de maior controle e impacto nas operações. (ALBERTIN e SANCHES,
2008).
Com clientes mais exigentes e melhor conhecedores de seus direitos - e com
mais opções de escolha e menos propensos à fidelidade - as organizações precisam se
adequar a esse novo perfil de consumidor.
Empresas de sucesso no século XXI precisam e devem se otimizar
continuamente, tornando-se empresas sem limites físicos, virtualmente integradas com
seus prestadores, clientes e parceiros de negócios.
Em virtude da globalização, vários setores de negócios já se encontram em
pleno estágio de competição acirrada, e obter vantagens competitivas sem possuir
inovações tecnológicas rápidas e articuladoras, pode levar as organizações ao declínio.
Albertin e Sanches (2008) afirmam que: “Nestes setores o sucesso empresarial
é daqueles que conseguirem mover-se mais rapidamente, pois as decisões referentes à
infraestrutura tecnológicas não são mais meras questões técnicas [...].
No entanto, a maior preocupação dos executivos atualmente, refere-se à
transferência do gerenciamento de atividades críticas a terceiros, que podem colocar em
risco o controle dos processos e informações consideradas competitivas para o negócio,
Ano 2, nº 1, p.17-105, nov 2010
bem como, os contratos de outsourcing que necessitam estabelecer um forte
alinhamento de todo o cenário em questão, como também um compromisso explícito de
colaboração entre cliente e provedor.
Em Cloud Computing o risco relativo à segurança da informação tornou-se
uma das principais preocupações entre os gestores e o ritmo de sua disseminação está
diretamente relacionado ao grau de confiança no modelo. Sem confiança, a dificuldade
na adoção do modelo se torna um obstáculo/desafio, uma vez que, essa tomada de
decisão, pode colocar em risco os ativos da organização.
Desafios: um olhar crítico
A grande maioria das empresas, instituições, órgãos da administração pública e
executivos, elegem como principal tema de preocupação em suas pautas a Segurança da
Informação. Uma série de discussões acaloradas sobre políticas, normas, regulamentos
e tecnologias são abordadas em diversos níveis organizacionais.
Sob essa égide, precisamos de novas leis que imponham guarda mínima de
dados, logs, ips, metadados, já que os mesmos são as provas originais, e por muitas
vezes as únicas testemunhas dos fatos.
Por se tratar de uma tecnologia em maturação, esse modelo tecnológico
necessita trabalhar melhor seus pontos principais para impulsionar sua disseminação, e
assim, aumentar a confiança dos profissionais em relação à nuvem.
Assim, percebemos que os aspectos jurídicos caminham a passos lentos e a
ausência de uma legislação específica surge a partir do desenvolvimento da tecnologia,
onde o Direito não acompanha legislativamente algumas questões.
A dificuldade desse enfrentamento reside na variedade dos serviços ofertados.
Dependendo do tipo de serviço, os controles de segurança vão se perdendo lentamente,
uma vez que, as responsabilidades desses “controles” podem ser repassadas a terceiros.
Nessa perspectiva surge o maior paradigma da Cloud Computing: “Manter a
segurança dos dados desses clientes”. Em razão da ausência de leis que criminalizem
ilícitos virtuais, surge a dificuldade em se punir os autores de atos praticados através da
internet.
Contudo, no Brasil, leva-se em consideração que a internet é só o meio
utilizado para as práticas dos crimes e assim sendo, as diretrizes do direito penal são
Ano 2, nº 1, p.18-105, nov 2010
igualmente aplicáveis, bastando apenas adequá-las e modernizá-las pelos órgãos
oficiais.
Por outro lado, é um caso atípico por não serem caracterizados todos os
elementos inerentes aos crimes de danos, previsto no Código Penal. Vejamos:
O Direito brasileiro não oferece solução para condutas lesivas que possam ser
praticadas pela Internet e que não encontrem adequação típica no rol de
delitos existentes no Código Penal e nas leis especiais brasileiras ou nos
tratados internacionais, em matéria penal, do qual o Estado brasileiro seja
parte. (ARAS, 2010)
No Brasil, temos alguns artigos no Código Penal que ditam como as perícias
devem ser realizadas, entre eles, o artigo 1581. Por não termos uma regulamentação ou
padronização em Cloud Computing, não são previstas garantia dos dados para a
realização de uma perícia que permita colher dados para exames como os de corpo de
delito, por exemplo. Mas, conforme o artigo 167: “[...] não sendo possível o exame de
corpo de delito a prova testemunhal poderá supri-lhe a falta” - em meios digitais se
torna complicado devido à necessidade de conhecimentos técnicos para narrar os fatos e
a volatilidade das informações, essa que em Cloud Computing é bem maior do que nos
modelos tradicionais.
No cenário atual, métodos e técnicas tradicionais da perícia forense podem se
mostrar pouco eficientes. Assim,
“Serviços de Cloud são especialmente difíceis de investigar, porque os logs e
dados de vários clientes podem estar localizados conjuntamente e também
estar distribuídos com uma constante mudança no conjunto de máquinas e
data centers.” (HEISER, 2009)
No artigo 169 consta: [...] para o efeito de exame do local onde houver sido
praticada a infração, a autoridade providenciará imediatamente para que não se altere
o estado das coisas até a chegada dos peritos [...]. Porém, em Cloud Computing, essa
preservação não é garantida, pois o ambiente em nuvem será utilizado por várias
pessoas e dependendo do crime, nem sempre saberemos o momento exato que ele foi
cometido.
Para que uma perícia seja bem sucedida, é necessário que existam registros de
auditoria, ou logs, íntegros e confiáveis. Não importa quão segura é a rede a ser
1
Artigo 158 do Código Penal: Quando a infração deixar vestígios será indispensável o exame de corpo
de delito, direto ou indireto, não podendo supri-lo a confissão do acusado
Ano 2, nº 1, p.19-105, nov 2010
auditada, nunca será possível confiar num registro que tenha sido comprometido ou
avariado. Assim, a maneira como os logs são armazenados torna-se um fator de extrema
relevância e os mesmo necessitam conter informações suficientes para identificação do
usuário - o endereço de IP, login e a data e o horário dos acessos.
Alguns prestadores de Cloud Computing não vêem razões para armazenar seus
logs fora da nuvem, mas os riscos deste ato devem ser levados em consideração.
Suponha uma paralisação no serviço, com os logs armazenados em nuvem, nem mesmo
a eles a empresa terá acesso. Numa invasão, dependendo do nível e controle que o
invasor tiver sobre os dados, o invasor pode facilmente apagar os logs, eliminar
possíveis provas e encobrir seus rastros; e a chance de descobrir qual foi à
vulnerabilidade que possibilitou a invasão ou ataque passa a ser mínima.
A obrigatoriedade e o armazenamento dos logs de dados é um dos principais
fatores a serem considerados na hora de regulamentar o modelo de Cloud Computing.
Nos padrões de segurança o log é princípio básico, pois nele estarão armazenados os
dados para recuperação do sistema em caso de falhas; a origem do erro ou problema; os
usuários que estavam utilizando; e assim, identificar autores de crimes cibernéticos.
As empresas que desejam aderir a Cloud Computing devem exigir de seus
prestadores a garantia do armazenamento desses logs por alguns anos, para que crimes
futuros possam ser investigados através de perícia.
A localização geográfica também é um elemento dificultador, uma vez que,
fazer uma cópia do disco rígido e obter os dados (como é feito hoje) pode se transformar
numa medida inviável. Parar uma máquina - no caso um Data Center - para fazer uma
imagem do disco, acarreta prejuízos financeiros para a empresa prestadora do serviço.
O advogado Caio César Lima, especialista em Direito Digital, apresentou um
trabalho sobre perícia em Cloud Computing durante o Iccyber 2010 na “VII Conferência
Internacional de Perícias em Crimes Cibernéticos”, onde afirma que:
[...] apesar de esse ser o grande desafio para todos, ainda não temos respostas.
Quanto mais a gente estuda, mais surgem dúvidas. Se as informações estão
na nuvem, e não mais nos HDs, de nada adianta apreender máquinas, como
fazemos hoje. (GROSSMANN, 2010, apud LIMA, 2010)
O problema é que cada país possui sua legislação específica. Alguns com leis e
normas para proteção de dados; outros com normas para serviços internacionais. No
Ano 2, nº 1, p.20-105, nov 2010
Brasil, temos leis que não tratam diretamente o assunto utilizando-se das leis existentes
para solucionar possíveis implicações jurídicas.
Segundo a opinião de Victor Eduardo Momesso, da Costa Jardim, advogado da
Opice Blum Advogados Associados, hoje, grande parte da nossa legislação cobre
eventuais problemas que possamos vir a ter com a aplicação da computação em nuvem,
sejam SaaS, PaaS ou IaaS, havendo a necessidade apenas de se regulamentar alguns
aspectos pontuais com relação à parte técnica.
A LICC - Lei de Introdução ao Código Civil define relação à lei aplicável aos
contratos internacionais, que prevê aplicar a legislação de onde o contrato foi assinado.
De acordo com o artigo 9 do Código de Defesa do Consumidor:
O Código de Defesa do Consumidor não se aplica a essa relação de consumo,
porque a lei de regência das obrigações resultantes de contrato, segundo o
direito positivo nacional, é a do domicílio do proponente (LICC, art. 9º, § 2º).
Essa é uma regra bem questionada por doutrinadores de Direito Internacional
que acreditam que deveria ser prevista em cláusulas contratuais a legislação aplicável e
o foro competente.
Fato é que num mundo amplamente interligado, as fronteiras físicas acabam
cedendo, não sendo possível identificar o país onde um contrato foi firmado pela rede
mundial de computadores.
O Superior Tribunal de Justiça também definiu que mesmo que o contrato
determine o foro estrangeiro, o contrato não pode violar a Legislação Brasileira.
O mesmo Tribunal também determinou em função das empresas prestadoras de
serviço, mas dessa vez, utilizando o Código de Defesa do Consumidor2, que estas
devem não só se beneficiar do bônus de suas atividades, como também pelos ônus. A lei
brasileira considera nula cláusula abusiva e qualquer limitação da responsabilidade do
prestador.
Nesse sentido, podemos destacar trecho do Agravo de Instrumento do
Desembargador Caetano Lagrasta, do Tribunal de Justiça do Estado de São Paulo:
[...] Deve-se ressaltar que a empresa que pretende trazer para o Brasil serviço
estruturado de novas tecnologias e com alcance que possui a internet deve se
2
Código de Defesa do Consumidor Art. 51: São nulas de pleno direito, entre outras, as cláusulas contratuais
relativas ao fornecimento de produtos e serviços. I - impossibilitem, exonerem ou atenuem a responsabilidade do
fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos.
Nas relações de consumo entre o fornecedor e o consumidor pessoa jurídica, a indenização poderá ser limitada, em
situações justificáveis;
Ano 2, nº 1, p.21-105, nov 2010
preocupar em garantir a segurança de referido sistema, não podendo alegar
um Bill de indenidade, driblando suas responsabilidades no escudo de
empresas internacionais.
[...] Nesse sentido não pode imputar ao consumidor o ônus de buscar, no
estrangeiro, e em legislação alienígena, as garantias para a proteção dos seus
direitos, devendo a empresa responsável pelo serviço no Brasil assumir total
responsabilidade. (JIMENE, BLUM apud LAGRASTA, 2009)
A internet possibilita aos consumidores a contratação de serviços de outros
países e dessa forma perde-se a noção de territorialidade, não sabendo qual é a
legislação aplicável para resolver possíveis litígios.
Desse modo, o Código de Defesa do Consumidor perde sua força e haverá um
confronto entre as normas de proteção nacionais e as regras do comércio internacional.
Um exemplo claro dos problemas que podemos encontrar é: analisar uma patente obtida
pelo Google que teria desenvolvido técnicas para construção de um data center
instalado em um navio, localizado no meio do oceano, que gera energia com as ondas
do mar. Neste caso, não teríamos legislação aplicável, pois os dados estariam em uma
área onde não existe legislação específica, apenas os acordos internacionais.
A existência de um contrato de acordo internacional seria inevitável para que
esse Data Center do Google pudesse operar com dados de todo o mundo, e para Cloud
Computing não seria diferente. Necessitamos de uma normatização internacional para
não entrarmos em conflitos com as leis de países estrangeiros.
Sob esse olhar, os governos ao redor do mundo estão preocupados com o uso
da Cloud Computing. Alguns países possuem legislação vigente que proíbe que dados
públicos estejam localizados fora do país, assim, inibindo possíveis problemas quanto à
privacidade desses dados.
Nesse aspecto a União Européia elaborou e aprovou a Diretiva 46:95/CE3 que
faz referência aos direitos fundamentais de proteção aos dados pessoais e a livre
circulação desses dados entre estados-membros, que estejam protegidos pela diretiva.
A fim de facilitar o fluxo de dados com a Europa, o Departamento de
Comércio dos EUA, em parceria com a Comissão Européia, desenvolveu o “Safe
3
Disponível em: <http://www.umic.pt/images/stories/publicacoes200709/Directiva95_46_CE.pdf>
acesso: 10/09/2010.
Ano 2, nº 1, p.22-105, nov 2010
Harbor4”, no intuito de discutir e socializar diferentes abordagens quanto à proteção
dos dados e a privacidade.
Ainda nos EUA, o Congresso norte-americano tem como proposta adotar uma
regra que obrigue os prestadores a reterem os logs por pelo menos dois anos, para fins
de investigação criminal. Depois do atentado de 11 de setembro, foi criada a TIA - Total
Information Awareness, com o objetivo de coletar o maior número de informações
sobre cidadãos norte-americanos e suas ligações com estrangeiros, a fim de identificar
possíveis ataques terroristas. O inconveniente desse processo é que suas informações
podem ser acessadas, pois possuem amparo legal previsto em lei.
Na Europa, foi criada em 2004 a ENISA - European Network and Information
Security Agency, que tem como objetivo melhorar a segurança da informação na União
Européia, desenvolvendo a cultura de rede e segurança para benefício dos cidadãos,
consumidores e empresas. A ENISA foi uma das primeiras a criar um relatório de
análise de Computação em Nuvem, o “Cloud Computing Risk Assessment”, que avalia
os principais riscos e estratégias permitindo aos políticos europeus criarem medidas
legislativas, aplicar estratégias para adotar a tecnologia e assim, avaliar a relação
custo/benefício do modelo.
Assim, percebemos que países da Europa e o Estados Unidos, estão bem mais
avançados em relação ao Brasil, no que tange à criação de medidas legais para adoção
desse modelo computacional, uma vez que, as estratégias de competição econômica
desses dois mundos consideram a Cloud Computing como fundamental para obtenção
de vantagem competitiva.
Considerações Finais
Por se tratar de um modelo novo, ainda em fase de amadurecimento, a nuvem
traz consigo muitos riscos e incertezas. No Brasil, em especial, tudo ainda é muito
embrionário; e as soluções para adoção de um serviço de segurança ainda são vistas
como um grande desafio - o modelo está saindo da teoria e aos poucos está entrando na
prática.
4
Safe Harbor: um conjunto de conceitos reunidos em documentos usados para resolver problemas sobre
a privacidade dos dados entre países, Conforme: < http://www.export.gov/safeharbor/> acesso em
10/09/2010.
Ano 2, nº 1, p.23-105, nov 2010
Em relação aos aspectos jurídicos, apesar de já existirem alguns grupos
destinados à melhoria da Cloud Computing, nos deparamos ainda com diversas
situações que não são cobertas no âmbito do direito, principalmente quando lidamos
com contratos internacionais.
Com o advento da internet as fronteiras não existem mais, porém cada país
possui a sua legislação e a sua maneira de lidar com os provedores de serviços. Na
Cloud Computing é muito comum que um provedor forneça serviço em outro país ou
utilize recursos no exterior, e é nesse ponto que surge a necessidade de um acordo
internacional que cubram os aspectos jurídicos e de segurança.
Cabe ressaltar ainda, que uma das exigências que devem demandar esforço
enorme são as trilhas de auditoria, essenciais para garantir a legalidade de boa parte das
operações. Atualmente, os serviços de Cloud Computing não passam de uma caixa preta
que nem mesmo o mais experiente auditor de sistemas consegue abrir.
Destacamos duas soluções que poderiam contribuir na qualidade da prestação
de serviço: uma aproximação maior de iniciativas que visem promover formalização das
normas contratuais; e a inclusão do Brasil na Convenção de Budapeste. Dessa forma,
estaríamos prestando serviços no mesmo nível dos EUA e da Europa; evitando assim,
problemas legais no caso de investigações que possam aferir jurisdição de outros países.
Por fim, apesar de todos os desafios legais e normativos que o modelo tende a
enfrentar nos próximos anos, não podemos simplesmente ignorar essa tendência
mundial. É inquestionável que, a Cloud Computing veio para ficar. Assim, ao se
contratar serviço em nuvem, se faz necessária uma análise mais profunda das cláusulas
contratuais, no tocante a segurança da informação, trilhas de auditoria, privacidade dos
dados, entre outras. O representante jurídico da empresa deve ser capaz de dominar
tanto a área jurídica, quanto a área de tecnologia da informação, pois se tratam de
contratos atípicos e podem conter margens para discussão de cláusulas em diversos
aspectos, de acordo com o risco oferecido e a demanda do contratante, sobretudo em
ambiente corporativo.
REFERÊNCIAS
ALBERTIN, Alberto Luiz. SANCHES, Otávio Próspero. Outsourcing em TI:
Impactos, dilemas, discussões e casos reais. FGV, 2008.
Ano 2, nº 1, p.24-105, nov 2010
ARAS, Vladimir. Crimes de informática: uma nova criminalidade. Disponível em:
<http://www.buscalegis.ccj.ufsc.br/revistas/index.php/buscalegis/article/viewFile/6022/
5591>. Acesso em 27/05/2010.
BLUM, Renato Ópice; VAINZOF, Rony. Artigo 90: O Marco Civil da Internet e a
Legislação Brasileira. Disponível em: <http://www.opiceblum.com.br/langpt/02_artigos_a001.html?ID_ARTIGO=90> Acesso em 11/10/2010.
HEISER, Jay. What You Need to Know About Cloud Computing Security and
Compliance.
Disponível
em:
<http://www.gartner.com/DisplayDocument?doc_cd=168345&amp;ref=g_noreg>
Acesso em 12/10/2009.
GROSSMANN, Luís Osvaldo. Computação na nuvem desafia investigação de
cibercrimes.
Disponível
em:
<http://www.sinfor.org.br/index.php?option=com_content&view=article&id=718:comp
utacao-na-nuvem-desafia-investigacao-de-cibercrimes&catid=48:noticias&Itemid=187>
Acesso em 22/09/2010.
JARDIM, Victor Eduardo Momesso da Costa; Legislação em Cloud Computing.
[mensagem pessoal]. Mensagem recebido por <[email protected]> em: 18/10/2010.
JIMENE, Camilla do Vale; BLUM, Renato Opice. Cloud Computing e Aspectos
Legais. Revista Fonte. Minas Gerais, Ano 6, n° 9, p. 51-52, dez. 2009.
Ano 2, nº 1, p.25-105, nov 2010