Investigação na Europa impedirá serviços de nuvem no governo

A autoridade de proteção de dados da Europa, EDPB (European Data Protection Board), iniciou uma investigação para impedir o uso de nuvem comercial no governo. Serviços de armazenamento online compartilhados fornecidos por Amazon, Google, Microsoft, Oracle e outros devem ser os alvos da busca.

Para o EDPB, o uso de serviços em nuvem gera dificuldades de compliance (adequação) às regras de proteção de dados da Europa, a GDPR (General Data Protection Regulation). O uso de serviços em nuvem em organizações dobrou na Europa nos últimos 6 anos, de acordo com o EuroStat. A pandemia da Covid-19 foi responsável por inspirar uma transformação digital em organizações com muitos representantes do setor público usando tecnologia de nuvem comercial. O resultado são “ilhas de informação” online, que não podem ser resguardadas pois não estão de acordo com a GDPR.

Durante os próximos meses, 22 representantes nacionais do EDPB irão investigar se organizações governamentais estão usando armazenamento de dados comerciais. A ação acontece após a decisão do EDPB de criar uma estrutura coordenada de vigilância (Coordinated Enforcement Framework – CEF) em outubro de 2020. O CEF faz parte da estratégia da organização até 2023 e é apoiado por uma equipe de apoio de experts (Support Pool of Experts – SPE). As duas iniciativas devem aumentar a cooperação e a vigilância de estados nacionais com a autoridade de dados europeia. As autoridades nacionais devem começar a adotar boas práticas e assegurar a proteção dos dados.

75 organizações públicas serão investigadas por uso de serviços de nuvem

Cerca de 75 organizações públicas serão observadas, em setores como saúde, finanças, impostos, educação, compras ou fornecedores de serviços de tecnologia. As fases da investigação incluem documentar a realidade das organizações, questionários para identificar se uma investigação formal deve ser instaurada, início de investigação formal e acompanhamento das investigações.

O alvo principal são organizações que desafiam a adequação à GDPR incluindo em processos e salvaguardas implementados ao adquirir serviços em nuvem, problemas com transferências internacionais, e provisões que dizem respeito ao relacionamento entre o controlador e o processador de dados.

Os resultados serão analisados de maneira coordenada e as autoridades nacionais decidirão se é necessário mais supervisão e vigilância. Além disso, os resultados serão agregados, formando um panorama do assunto e permitindo acompanhamento em toda a Europa. O resultado da análise será publicado ainda em 2022.

Amazon já esteve entre as empresas multadas na Europa

As autoridades europeias mostram constantemente às big techs que não brincam em serviço. A Comissão Nacional de Proteção de Dados de Luxemburgo (CNPD) já multou a Amazon em US$ 887 milhões – mais de R$ 4,5 bilhões – alegando que a empresa desrespeitou suas leis de privacidade.

Supostamente, a divisão de varejo da empresa teria usado informações não-públicas de consumidores para competir no mercado europeu contra vendedores e lojas da França e Alemanha. O caso teria ocorrido em 2020 e rendeu uma alerta por parte da comissão da União Europeia em novembro de 2020.

Os dados atuais foram compartilhados pela própria empresa nos documentos de sua apresentação de resultados para investidores. No texto, a Amazon diz que não considera a punição justa e que pretende recorrer da multa imposta pela CNPD, que pode ser a maior já aplicada pela lei europeia de proteção de dados.

O valor levaria praticamente ao pé da letra as diretrizes da GDPR, que preveem multas regulatórias de até 4% da receita da companhia autuada. Considerando que a Amazon teve uma entrada de dinheiro na casa dos US$ 21,3 bilhões, os US$ 887 milhões ficam dentro da margem de erro (4,2%).

Em comunicado, a empresa nega as acusações, apesar de não dizer exatamente por que foi multada ou que práticas deveria mudar para se adequar à GDPR.