O que é que a resolução sobre a nuvem suíça significa para a Europa?

CLOUD Act, soberania dos dados e Suíça: um ponto de viragem para as estratégias europeias de TI?

por

Em meados de novembro, aconteceu na Suíça algo que quase ninguém esperava desta forma: Os comissários de proteção de dados do país aprovaram uma resolução clara, quase histórica. A mensagem subjacente é simples - e, ao mesmo tempo, altamente controversa: as autoridades públicas não devem continuar a subcontratar sem hesitação os seus dados mais sensíveis a serviços internacionais de computação em nuvem, como o Microsoft 365. Porquê?

Porque a responsabilidade por dados particularmente confidenciais - registos de saúde, casos sociais, investigações criminais, documentos internos - não deve ser entregue a empresas que nunca podem tecnicamente excluir completamente o acesso a esses dados. É precisamente este o cerne da decisão suíça. Não é preciso estar profundamente envolvido em TI para compreender a ideia de base. No passado, os ficheiros importantes eram guardados num armário fechado à chave na Câmara Municipal. Hoje, os mesmos dados são frequentemente armazenados algures no estrangeiro - nos servidores de grandes empresas americanas, que por sua vez utilizam as suas próprias empresas parceiras e subcontratadas. E mesmo que esses fornecedores nos garantam que tudo está seguro, as próprias autoridades já não podem verificar isso.

Questões sociais da atualidade

Há também um ponto que é frequentemente ignorado no debate público: as empresas americanas podem ser obrigadas a entregar dados ao abrigo de leis americanas como o CLOUD Act - mesmo que esses dados estejam efetivamente armazenados na Europa. Para os países europeus, e ainda mais para um país como a Suíça, que tradicionalmente valoriza muito a independência, este é um fardo pesado. Perante este cenário, as autoridades suíças responsáveis pela proteção de dados tornaram agora clara a sua posição:

Se uma autoridade pública armazena dados especialmente protegidos ou mesmo abrangidos pelo sigilo oficial, ninguém mais - nem mesmo um fornecedor de serviços de computação em nuvem - deve poder aceder a esses dados. E enquanto não houver uma verdadeira encriptação de ponta a ponta, em que só a autoridade gere as chaves, isso simplesmente não é viável com os actuais serviços em nuvem.

A Suíça está, assim, a puxar o cordel - por prudência, tradição e um entendimento profundamente enraizado de que os dados do Estado são um bem particularmente valioso. E, curiosamente, as autoridades alemãs, os responsáveis pela proteção de dados e os gestores de TI estão agora também a olhar com muita atenção para ver se está a surgir aqui uma nova norma.

O que diz realmente a resolução suíça

Como Heise Online e Por dentro da TI Tal como referimos no nosso relatório, esta decisão foi tomada pela Conferência de Proteção de Dados privatim, uma associação do Comissário Federal para a Proteção de Dados e de todas as autoridades de supervisão cantonais. Embora as suas decisões não sejam leis, têm um enorme peso. Na prática, muitas autoridades aplicam as suas orientações como se fossem vinculativas - porque especificam o que é permitido e responsável do ponto de vista da proteção de dados. A quem se destina a resolução? O grupo-alvo são as autoridades públicas:

  • Autoridades federais
  • Gabinetes cantonais
  • Municípios
  • Tribunais
  • instituições estatais

As empresas privadas não são formalmente afectadas pela resolução. No entanto, se as normas para as instituições estatais forem estabelecidas de forma tão rigorosa, o sector privado terá dificuldade em adotar uma abordagem muito mais laxista no futuro - especialmente em áreas como os cuidados de saúde, a educação e os seguros.

A mensagem principal: os dados sensíveis não pertencem às nuvens internacionais

O Resolução formula-o de forma cuidadosa mas inequívoca: os dados mais sensíveis da administração pública não devem ser externalizados para serviços de computação em nuvem, desde que os fornecedores possam ter acesso técnico. E isto não se aplica a qualquer aplicação de nicho, mas precisamente aos produtos de computação em nuvem que muitas administrações utilizam atualmente como padrão, incluindo

  • Microsoft 365
  • Espaço de trabalho Google
  • Várias aplicações SaaS de fornecedores internacionais

O ponto de discórdia é sempre o mesmo: não existe uma verdadeira encriptação de ponta a ponta quando a autoridade detém as chaves e o fornecedor está tecnicamente excluído. Enquanto o próprio serviço de nuvem fizer actualizações, configurações ou tiver direitos de administrador em caso de assistência, o acesso teórico mantém-se - e isso é um risco mais do que suficiente para os especialistas suíços em proteção de dados.

Porque é que a Suíça está a traçar esta linha

A decisão suíça segue uma lógica clara que poderia ser resumida num princípio clássico, quase antiquado:
Não se pode realmente proteger o que não está na nossa própria esfera de influência. Três motivos estão no centro desta situação:

  • Proteção da soberania do EstadoOs dados do Estado são a base da soberania. Se os fornecedores internacionais - possivelmente até sob jurisdição estrangeira - puderem teoricamente aceder a esses dados, o Estado perde uma parte dessa soberania.
  • Proteção do segredo de EstadoO segredo oficial é particularmente importante na Suíça. Não se destina apenas a evitar intrigas políticas, mas também a garantir a confiança dos cidadãos. A partir do momento em que os dados saem do país, esta confiança torna-se mais difícil de garantir.
  • Proteção de dados pessoais particularmente sensíveisDados de saúde, ficheiros policiais, casos sociais - todos estes são domínios em que o acesso não autorizado teria consequências graves. E mesmo o mais pequeno risco é considerado inaceitável neste domínio.

Que dados são particularmente afectados?

A resolução fala explicitamente de:

  • dados pessoais particularmente sensíveis
  • Dados sujeitos a confidencialidade legal (sigilo oficial)
  • Dados da polícia, justiça, serviços sociais, saúde, administração

Para estas informações, a resolução exige uma norma que os actuais sistemas SaaS não oferecem: encriptação total sob o controlo exclusivo da autoridade. Sem esta norma, a externalização para nuvens internacionais é „na maioria dos casos inadmissível“ - de acordo com a redação.

O que é que resta às autoridades fazer?

Em termos técnicos, só têm um corredor estreito:

  • Armazenamento em nuvem com a sua própria encriptação a montante
  • Exploração de infra-estruturas-chave próprias
  • ou soluções completamente locais, ou seja, no local ou de fornecedores suíços

Isto não significa que as autoridades deixem de poder utilizar a nuvem. Mas têm de garantir que o fornecedor não tem forma de ler os dados em texto simples. E, na prática, isso é praticamente impossível com a maioria das ferramentas modernas de nuvem, porque esses sistemas só podem cumprir suas funções se eles próprios processarem os dados. A Suíça está, portanto, a dizer indiretamente:

„Utilize a nuvem com moderação e apenas onde pode realmente controlá-la.“

Trata-se de um passo notável, que também está a suscitar discussões fora da Suíça.

Os cinco principais argumentos - desde a falta de encriptação de ponta a ponta até à lotaria de contratos

1. ausência de uma verdadeira encriptação de extremo a extremo

O ponto mais importante é também o mais simples: desde que um fornecedor de serviços em nuvem tenha acesso técnico aos dados, não é permitido utilizá-lo para informações particularmente sensíveis. E é precisamente aqui que praticamente todas as ofertas internacionais de SaaS falham - mesmo que se autodenominem „seguras“, „certificadas“ ou „compatíveis com a proteção de dados“. Porquê? Porque serviços como o Microsoft 365, o Google Workspace ou outras grandes plataformas na nuvem só funcionam se puderem processar os dados do nosso trabalho: Documentos, e-mails, calendários, reuniões, chats. Os sistemas analisam, pesquisam, sincronizam e ligam conteúdos - é esse o seu modelo de negócio.

Uma verdadeira encriptação de ponta a ponta, em que apenas a autoridade detém a chave e o fornecedor não tem conhecimento, tornaria estas funções praticamente impossíveis. É precisamente por isso que os fornecedores não oferecem uma separação completa neste domínio. E é por isso que os especialistas suíços em proteção de dados afirmam:

„Enquanto isso não for possível, não podemos utilizar esses sistemas com a consciência tranquila.“

2. cadeias de subcontratação não transparentes e falta de controlo

Os grandes fornecedores de serviços de computação em nuvem trabalham com uma enorme rede de subcontratantes. Estas estruturas estão frequentemente distribuídas a nível mundial, mudam regularmente e são quase impossíveis de compreender para quem está de fora. Mesmo que exista um contrato governamental com a Microsoft ou a Google, o seguinte aplica-se frequentemente em segundo plano:

  • Outras empresas prestam apoio
  • Equipas externas efectuam trabalhos de manutenção
  • outros prestadores de serviços alojam ou gerem partes da infraestrutura

Para uma autoridade pública, isto significa que não pode saber exatamente quem tem ou pode ter acesso e quando. E isto contradiz o princípio segundo o qual uma autoridade pública deve poder saber em qualquer altura onde se encontram os seus dados e quem pode potencialmente aceder-lhes. As autoridades suíças sublinharam deliberadamente este ponto porque a transparência e a responsabilidade estão intimamente ligadas.

3. alterações contratuais unilaterais - a nuvem como base jurídica instável

Um fator de risco que é frequentemente ignorado é a conceção do contrato. Muitos fornecedores de serviços de computação em nuvem reservam-se o direito de alterar os seus termos e condições em qualquer altura, por vezes com prazos muito curtos. Isto é de certa forma aceitável para as empresas privadas, mas..:

O princípio da previsibilidade aplica-se às autoridades públicas. A administração deve ser capaz de documentar e justificar quais os dados que são tratados e como. No entanto, se as condições-quadro se alterarem espontaneamente - porque o fornecedor insere novas cláusulas ou restringe as existentes - surge uma situação em que a autoridade já não pode avaliar com segurança a sua própria conformidade legal.

Os especialistas suíços em proteção de dados consideram que esta „lotaria de contratos“ é incompatível com as obrigações do Estado. Um Estado não pode confiar em modelos de negócio que podem ser alterados em qualquer altura - sem co-determinação.

4. risco de perda de controlo e de direitos fundamentais

A partir do momento em que os dados saem do país ou são tratados fora da sua área de responsabilidade, surge um risco: o Estado perde parte do seu controlo.

Isto pode parecer abstrato à primeira vista, mas é muito real na vida quotidiana: se ocorrer um erro, se os dados forem comprometidos ou se surgir um litígio jurídico, uma autoridade pública já não pode garantir que consegue gerir sem ajuda externa. E é precisamente isto que contradiz a ideia de base de uma administração pública funcional:

Um Estado deve ser capaz de atuar por si próprio em caso de emergência - sem depender de empresas externas ou de sistemas jurídicos estrangeiros. Os defensores suíços da proteção de dados têm aqui uma abordagem tradicional, quase antiquada - e é precisamente isso que torna a sua posição tão consistente. As tarefas do Estado continuam a ser tarefas do Estado. E os dados do Estado devem estar nas mãos do Estado.

5 A Lei CLOUD dos EUA - o centro das preocupações

A Lei CLOUD é talvez o contexto mais importante para toda esta discussão. Esta lei dos EUA obriga as empresas americanas a entregar dados às autoridades americanas, a pedido destas - mesmo que esses dados estejam armazenados no estrangeiro e estejam efetivamente sujeitos à proteção de leis estrangeiras. Para a Suíça, isto é absolutamente impossível.

Isto permitiria, teoricamente, que as autoridades americanas tivessem acesso a dados administrativos suíços sensíveis sem envolver os tribunais ou as autoridades suíças. Mesmo que os fornecedores de serviços de computação em nuvem afirmem que só divulgarão esses dados em condições estritas, o problema de base mantém-se:

A autoridade perde a soberania sobre os seus dados, pelo simples facto de escolher o fornecedor de serviços técnicos. Para um país que tradicionalmente defende a sua independência, este é um risco que não vale a pena correr. E é precisamente este ponto que os especialistas suíços em proteção de dados estão a deixar bem claro.


A Suíça contra o Microsoft 365 - e a Alemanha está a observar de perto heise & c't

A Suíça e a UE - duas formas de lidar com o Microsoft 365

Enquanto a Suíça adopta uma abordagem muito cautelosa e adverte explicitamente as autoridades contra a externalização de dados sensíveis para serviços SaaS internacionais, a União Europeia adopta uma abordagem diferente. Está a tentar encontrar uma via intermédia através de acordos, melhorias contratuais e ajustamentos técnicos - uma via que não proíbe fundamentalmente os serviços de computação em nuvem, mas que visa antes torná-los „utilizáveis“ através da imposição de condições.

Esta diferença é notável e diz muito sobre a forma diferente como os Estados lidam com a questão da soberania digital.

Suíça: prudência, soberania dos dados e uma fronteira clara

A posição da Suíça pode ser resumida numa frase:

„O que não posso controlar, não deixo sair das minhas mãos.“

A Suíça mantém, assim, um princípio tradicional: os dados do Estado - sobretudo os secretos ou particularmente sensíveis - permanecem no país ou são encriptados de forma a que só as autoridades tenham acesso a eles. Trata-se de um regresso deliberado a velhos princípios, transferidos para o presente do mundo digital.

A UE: tratados, isenções e soluções de compromisso

A União Europeia está a adotar uma abordagem diferente. Pretende utilizar as vantagens das grandes plataformas de computação em nuvem sem as proibir completamente. Para o efeito:

  • Novos contratos negociados
  • Garantias de proteção de dados acrescentadas
  • Introdução de mecanismos de controlo e auditorias
  • Garantias técnicas fornecidas posteriormente

Um exemplo disto é a decisão da Autoridade Europeia para a Proteção de Dados de que a Comissão Europeia pode utilizar o Microsoft 365 em conformidade com os regulamentos de proteção de dados sob determinadas condições. Declarações semelhantes estão agora a ser ouvidas de vários Estados-Membros - incluindo partes da Alemanha. A ideia básica:

„Regulamos a nuvem em vez de a proibir“.“

Mas esta abordagem baseia-se na confiança nos fornecedores - e no facto de a complexidade permanecer controlável. Os críticos argumentam contra isso: Quanto maior for a plataforma, mais difícil é o seu controlo.

A Alemanha entre dois mundos

A Alemanha está entre a espada e a parede. Algumas autoridades estatais de proteção de dados são mais cautelosas, outras são mais orientadas para a prática.
No sector escolar, por exemplo, já foram tomadas decisões rigorosas contra o Microsoft 365, enquanto a nível federal se trabalha em soluções que permitem a sua utilização. O resultado: uma manta de retalhos.

É precisamente por isso que muitas pessoas estão agora a olhar para a linha suíça - porque ela estabelece pela primeira vez um padrão claro em vez de trabalhar através de compromissos.

Duas filosofias em confronto

Em suma, existem duas escolas de pensamento opostas:

  1. A tradição suíça: „Os nossos dados ficam connosco - ou ficam encriptados e mais ninguém os vê.“
  2. A pragmática europeia: „Precisamos de plataformas modernas - por isso, estamos a lidar com elas da melhor forma possível“.“

Ambas as abordagens têm os seus pontos fortes. Mas a Suíça está a enviar um sinal claro: mostra que um Estado pode conscientemente concentrar-se na independência digital no século XXI sem se tornar dependente das empresas globais.

E esta atitude, por si só, já está a levar as autoridades, os responsáveis pela proteção de dados e os departamentos de TI de toda a Europa a analisar mais de perto se a prática anterior é realmente tão irrefutável como sempre pareceu.

Critério / Tópico Vista da Suíça (privado / autoridades) Prática ou parecer atual da UE/Alemanha
Grupo-alvo Instituições públicas: Confederação, cantões, municípios, tribunais, etc. Autoridades e administrações (em parte), mas muitas autoridades também continuam a utilizar nuvens SaaS; os regulamentos são por vezes inconsistentes, dependendo do país e do estado federal.
Tipo de dados / sensibilidade Dados que exigem proteção especial ou confidencialidade (saúde, polícia, serviços sociais, dados oficiais, etc.) - é necessária uma utilização restritiva da nuvem. A utilização da nuvem também é possível para dados sensíveis - dependendo da avaliação dos riscos, das medidas de proteção dos dados e do contrato com o fornecedor; muitas vezes, há compromissos e um tratamento diferente para cada caso.
Encriptação de ponta a ponta / soberania das chaves Só é aceitável se a própria autoridade controlar a chave e o fornecedor estiver tecnicamente excluído; caso contrário, a utilização não é autorizada. São utilizadas nuvens padrão, mesmo sem soberania da própria chave; a encriptação do fornecedor é normalmente suficiente, desde que existam contratos e requisitos de proteção de dados.
Subcontratantes / transparência das infra-estruturas As cadeias de subcontratantes são consideradas demasiado opacas - não há utilização autorizada de dados críticos. As cadeias de subcontratantes são aceites - com provas de conformidade, certificações e regulamentos contratuais, mas a transparência é frequentemente limitada.
Alterações contratuais / segurança jurídica As alterações unilaterais dos contratos por parte dos prestadores são proibidas - as obrigações do Estado não podem ser postas em risco. Os serviços são utilizados mesmo que os fornecedores possam mudar de contrato; as autoridades/empresas assumem riscos - muitas vezes com acordos legais e mecanismos de controlo.
Perigo decorrente da legislação dos EUA (por exemplo, a Lei CLOUD) As leis dos EUA são consideradas um risco inaceitável - a utilização da nuvem é proibida para dados sensíveis enquanto os fornecedores puderem estar sujeitos a obrigações judiciais nos EUA. Apesar da Lei CLOUD, são utilizadas nuvens internacionais; o risco é frequentemente considerado aceitável, com referência a mecanismos de proteção, limites de dados ou cláusulas contratuais-tipo da UE.
Alternativas recomendadas No local, fornecedores suíços/europeus com soberania de chaves, infraestrutura própria ou soluções de armazenamento fortemente encriptadas. Nuvem híbrida, fornecedores com centros de dados na Europa, serviços de nuvem sujeitos a condições; utilização frequente desde que sejam cumpridas as normas de conformidade.
Filosofia / atitude Princípio da precaução, controlo, soberania do Estado e soberania máxima dos dados. Pragmatismo, capacidade de compromisso, gestão dos riscos e confiança nas condições do quadro contratual/técnico.

Um olhar para além da fronteira: porque é que a Alemanha precisa de olhar mais de perto agora

A resolução suíça surge numa altura em que as autoridades e as empresas alemãs estão cada vez mais inseguras quanto à forma de lidar com os serviços em nuvem. Por um lado, a economia está a avançar para a nuvem - prometendo automatização, colaboração e eficiência de custos. Por outro lado, a questão que se coloca é: de quanto controlo se abdica?

É precisamente aqui que a decisão suíça tem um efeito de sinalização. É um espelho para a Alemanha e mostra o que acontece quando se pensa até ao fim. Isto afecta não só os ministérios e as autoridades, mas também as escolas, os escritórios de advogados, os consultórios médicos, as PME e todos os que trabalham com dados sensíveis. Os suíços dizem basicamente o seguinte:

„Utilizamos tecnologia moderna - mas não à custa da nossa independência.“

Esta frase poderia facilmente ser escrita por cima de uma estratégia digital alemã. Ainda não o é, mas a decisão de Berna veio dar um novo impulso à discussão.

A questão que nenhuma empresa pode ignorar

Atualmente, as empresas têm de se colocar uma questão aparentemente simples - uma questão que dificilmente seria colocada há dez ou quinze anos:

„Quem tem acesso aos nossos dados em caso de dúvida?“

No passado, a resposta era clara: você mesmo. Atualmente, é frequentemente: „Depende“.“

E é precisamente este „depende disso“ que constitui um problema para muitas organizações. A partir do momento em que os dados são armazenados em sistemas de nuvem, já não é apenas a empresa que decide quem pode aceder aos mesmos. É ela que decide:

  • o fornecedor
  • os seus subcontratantes
  • o seu processador de dados contratual
  • autoridades estrangeiras (no caso de fornecedores dos EUA, mesmo sem o consentimento europeu)

Se olharmos para o assunto com sobriedade, rapidamente nos apercebemos de que há cada vez menos respostas claras à questão da verdadeira soberania dos dados.
E é por isso que a linha suíça de repente já não parece antiquada - mas decididamente moderna.

A classe média entre o conforto e a perda de controlo

Muitas empresas de média dimensão na Alemanha encontram-se atualmente entre dois pólos:

  • A conveniência das modernas plataformas de nuvem
    - Ficheiros sincronizados em todo o lado
    - Videoconferência em segundos
    - Sistemas integrados de correio eletrónico, calendário e comunicação
  • O desejo de controlo, confidencialidade e independência
    - especialmente para dados confidenciais
    - segredos comerciais estratégicos
    - propriedade intelectual
    - Dados de clientes ou empregados

A decisão suíça mostra uma direção possível: é possível utilizar a tecnologia, mas não é necessário seguir cegamente todas as tendências. Algumas formas são cómodas, mas cómodas nem sempre são seguras.

Inquérito atual sobre a digitalização na vida quotidiana

Como avalia a influência da digitalização na sua vida quotidiana?
Votação

O meu próprio momento na nuvem com a HostEurope

Tenho acompanhado de perto esta evolução suíça porque, há algum tempo, me encontrei numa situação muito semelhante. Na HostEurope, todo o meu sistema de correio eletrónico tinha de ser substituído - sem consulta, sem inquérito. simplesmente migrou para o Microsoft 365 tornar-se. Isto significaria que as minhas comunicações ficariam subitamente armazenadas numa nuvem internacional, em condições que eu não posso controlar e com o risco de as autoridades estrangeiras terem acesso em caso de dúvida.

Para mim, esse foi um ponto claro em que eu disse: Parem - assim não. Decidi deliberadamente contra a HostEurope porque não quero que os meus dados sejam transferidos para um sistema sobre o qual, em última análise, já não tenho qualquer controlo real. Este momento fez-me perceber, mais uma vez, a rapidez com que podemos ser apanhados em estruturas que nunca quisemos e a importância de sermos nós a puxar a corda antes que outros assumam o controlo dos nossos dados.

O que o desenvolvimento significa para todos nós

Se olharmos com sobriedade para os desenvolvimentos dos últimos anos, podemos pensar que o mundo está a avançar a toda a velocidade para a dependência tecnológica. Tudo está a ser centralizado, normalizado e transferido para a nuvem, muitas vezes sem que as consequências a longo prazo sejam realmente analisadas.

E agora, um pequeno país no centro da Europa vem lembrar a todos que é possível atuar de forma diferente: com ponderação, respeito, cuidado - e com uma visão clara da própria responsabilidade. Esta atitude suíça não é um passo atrás. É um regresso à velha questão que muitos quase esqueceram no ritmo frenético da digitalização:

„Quem é responsável se acontecer alguma coisa?“

Se a resposta já não for clara, então algo está errado.

O que isto significa para cada indivíduo

Em última análise, esta decisão não afecta apenas as autoridades públicas ou as grandes empresas - afecta todos os que produzem, armazenam ou trocam dados.

  • Não é preciso ser um técnico para compreender que cada externalização custa uma peça de controlo.
  • Não é preciso ser um perito em proteção de dados para perceber que as informações sensíveis são melhores se soubermos onde estão armazenadas.
  • E não é preciso ser um advogado para perceber que as leis estrangeiras são problemáticas se puderem decidir sobre os seus próprios dados.

O bom senso é suficiente. E é precisamente isso que a Suíça está a tentar trazer de volta à ribalta.

A decisão de Berna não é um apelo à hostilidade em relação à tecnologia, mas um apelo aos nossos próprios padrões. É uma chamada de atenção para o facto de que a digitalização não significa entregarmo-nos cegamente aos maiores fornecedores - significa questionarmo-nos sobre a responsabilidade que estamos a assumir. Sobre o tema Nuvem e soberania dos dados Já tinha escrito um artigo sobre este assunto no passado.

Os empresários que são a favor de Software ERP sem a nuvem encontrará informações úteis neste artigo separado.

De certa forma, a Suíça está a mostrar-nos algo que todos nós sabemos há muito tempo, mas que muitas vezes suprimimos: A soberania não começa com a tecnologia - começa com a atitude. Com a forma como se tomam decisões. Com a vontade de analisar as coisas de forma crítica.

E com a coragem de seguir um caminho diferente, se necessário, se for mais sensato.

Tópicos actuais sobre inteligência artificial

Perguntas mais frequentes

  1. Porque é que a Suíça adoptou uma posição tão rigorosa em relação aos serviços internacionais de computação em nuvem, como o Microsoft 365?
    A Suíça segue um princípio claro: os dados do Estado devem ser protegidos de forma a que ninguém, para além da autoridade competente, possa aceder aos mesmos. Os fornecedores internacionais de serviços de computação em nuvem nunca podem, técnica e legalmente, excluir completamente a possibilidade de os dados lhes serem acessíveis numa emergência - seja por razões de manutenção, por direitos de administrador ou por pedidos do governo do seu país de origem. Trata-se de um risco inaceitável para dados particularmente sensíveis, como os que são tratados no âmbito da administração, da justiça, da polícia ou dos sistemas de saúde. As autoridades suíças responsáveis pela proteção de dados estão, portanto, a tirar a conclusão lógica e a restringir severamente a utilização da nuvem enquanto não houver uma verdadeira encriptação de ponta a ponta sob a soberania exclusiva da autoridade.
  2. Esta decisão aplica-se a todos os dados ou apenas a determinadas categorias?
    A resolução visa principalmente os dados particularmente sensíveis ou sujeitos a confidencialidade - incluindo dados de saúde, ficheiros sociais, informações de investigação e comunicações internas com as autoridades. A Suíça exige os mais elevados padrões de segurança para estas categorias, que as plataformas SaaS internacionais não cumprem atualmente. Os dados menos sensíveis podem ainda ser externalizados, mas apenas após uma avaliação cuidadosa dos riscos e em conformidade com determinadas medidas de proteção.
  3. As empresas na Suíça também são afectadas?
    Formalmente, a resolução destina-se exclusivamente a agências governamentais. Na prática, porém, também terá impacto nas empresas, especialmente nas que processam dados sensíveis ou legalmente protegidos - por exemplo, hospitais, companhias de seguros, bancos ou instituições de ensino. Se as autoridades públicas deixarem de poder utilizar determinados serviços, será mais difícil para as organizações privadas classificarem os mesmos serviços como „completamente não problemáticos“.
  4. Qual é o maior problema técnico do Microsoft 365 do ponto de vista da Suíça?
    O problema central é a falta de uma verdadeira encriptação de ponta a ponta. O Microsoft 365 requer acesso ao conteúdo para permitir funções como pesquisa, indexação, chats de equipa, calendários, anti-spam ou funcionalidades de IA. Isto significa que os servidores e os administradores podem, tecnicamente, ver sempre o texto simples. Mesmo que a Microsoft sublinhe que não o faz, a possibilidade mantém-se - e é precisamente esta possibilidade teórica que representa um risco para as autoridades suíças.
  5. Que papel desempenha o US CLOUD Act na decisão?
    O CLOUD Act obriga as empresas americanas a entregar dados a pedido das autoridades americanas, mesmo que esses dados estejam armazenados no estrangeiro. Para a Suíça, isto significa que, mesmo que a Microsoft utilize centros de dados europeus ou suíços, os dados podem ter de ser disponibilizados às autoridades americanas. Este possível acesso contradiz o entendimento suíço de soberania e segredo oficial. A lei CLOUD é, por conseguinte, citada como um contra-argumento sério.
  6. Porque é que os tratados ou as „fronteiras de dados da UE“ não são suficientes para a Suíça?
    Os contratos e as medidas de proteção técnica são instrumentos valiosos, mas não alteram a realidade jurídica. Se uma empresa dos EUA for obrigada a entregar dados, não existe qualquer contrato nesse sentido. Além disso, os grandes fornecedores de serviços em nuvem podem alterar os seus termos e condições em qualquer altura. Os especialistas suíços em proteção de dados afirmam, por isso, que a segurança jurídica não advém de promessas, mas sim do controlo efetivo sobre os dados - e este controlo não é totalmente garantido nas nuvens SaaS.
  7. O que é que a resolução significa em termos concretos para as autoridades?
    No futuro, as autoridades terão de provar que não estão a externalizar dados sensíveis de forma a que um fornecedor de serviços de computação em nuvem possa aceder aos mesmos. Em termos práticos, isto significa que o Microsoft 365 e outras plataformas SaaS internacionais já não podem ser utilizadas para esses dados. As autoridades devem recorrer a soluções locais, mudar para fornecedores suíços ou utilizar os seus próprios mecanismos de cifragem, sem que o fornecedor tenha qualquer acesso.
  8. As autoridades podem continuar a utilizar serviços de computação em nuvem se utilizarem a sua própria encriptação?
    Sim - mas apenas se a autoridade mantiver o controlo total sobre as chaves e o fornecedor for tecnicamente excluído. O problema: muitos serviços em nuvem deixam de funcionar se o conteúdo for encriptado antes do processamento. Na prática, o Microsoft 365 só poderia, portanto, ser utilizado como uma solução de armazenamento de dados pura - sem ferramentas de colaboração, sistema de correio eletrónico, calendário, Teams ou funções automatizadas do Office.
  9. Em que é que a posição da Suíça difere da atual posição da UE?
    A UE está a tentar fazer com que a utilização do Microsoft 365 esteja em conformidade com os regulamentos de proteção de dados através de acordos, auditorias e garantias contratuais. O objetivo é utilizar as vantagens da nuvem sem as pôr fundamentalmente em causa. A Suíça, por outro lado, centra-se no princípio da precaução e traça uma linha clara: sem controlo total sobre os dados, a utilização não é permitida. Isto cria um contraste entre o pragmatismo europeu e a coerência suíça.
  10. Como é que as autoridades alemãs estão a reagir a esta evolução?
    Muitas organizações estatais alemãs de proteção de dados estão atentas à decisão da Suíça. Algumas já criticaram o próprio Microsoft 365 - por exemplo, nas escolas, onde os mecanismos de rastreio e os fluxos de dados pouco claros foram criticados. A resolução suíça poderia servir como um reforço de argumentação: Se um país com padrões elevados restringir a utilização, torna-se mais difícil para as autoridades alemãs adoptarem uma linha mais liberal sem a poderem justificar bem.
  11. Porque é que a transparência desempenha um papel tão importante para os subcontratantes?
    Os grandes fornecedores de serviços de computação em nuvem utilizam redes globais de parceiros e subcontratantes para apoio, manutenção e serviços técnicos. É quase impossível para uma autoridade pública compreender quais as empresas que podem ter acesso e quando. É precisamente esta falta de transparência que impossibilita uma avaliação correta dos riscos. A Suíça considera que este é um problema fundamental: uma autoridade pública precisa de saber quem pode aceder aos seus dados - e isso é praticamente impossível em estruturas de nuvem complexas.
  12. Como é que a decisão influencia o debate sobre a soberania digital na Europa?
    A posição da Suíça actua como um catalisador. Há anos que muitos países da UE falam de soberania digital, mas recorrem frequentemente aos mesmos fornecedores mundiais. A Suíça está agora a mostrar que um Estado também pode agir de forma diferente. Esta decisão vai reacender o debate europeu - especialmente nos domínios da justiça, da administração e dos dados relativos à saúde, em que uma linha estrita pode parecer particularmente sensata.
  13. O que é que as empresas podem aprender com esta evolução?
    As empresas devem estar conscientes de que a externalização de dados implica sempre uma perda de controlo. A decisão da Suíça recorda-nos que é importante analisar cuidadosamente quais os dados que são transferidos e para onde. As empresas devem considerar se algumas áreas críticas são melhor deixadas localmente ou em infra-estruturas soberanas - mesmo que a nuvem pareça mais conveniente à primeira vista.
  14. Será a decisão da Suíça um retrocesso ao passado?
    Não - é antes um regresso a princípios fundamentais que por vezes se perdem na digitalização: Responsabilidade, controlo, rastreabilidade. A Suíça utiliza tecnologias modernas, mas não aceita perder a soberania sobre os seus dados mais sensíveis. Esta atitude parece antiquada, mas é, de facto, orientada para o futuro.
  15. Que alternativas têm as autoridades ou as empresas se quiserem evitar os serviços em nuvem?
    Existem várias opções: servidores locais, fornecedores suíços ou europeus com uma soberania de dados rigorosa, modelos híbridos com a sua própria encriptação ou infra-estruturas completamente autónomas. Estas opções não são tão convenientes como clicar em „Subscrever o Microsoft 365“, mas reforçam o controlo - e são completamente suficientes para muitas aplicações sensíveis.
  16. Que papel desempenha o incidente da HostEurope neste contexto?
    O incidente é um exemplo típico da rapidez com que se pode ser apanhado em estruturas que não se queria. Se um fornecedor quiser migrar os seus e-mails para o Microsoft 365 sem o consultar, perde parte da sua soberania ao mesmo tempo - e completamente sem ser solicitado. A sua decisão de se excluir imediatamente foi, em última análise, um passo na mesma direção que a Suíça tomou agora oficialmente: Controlo em vez de comodidade. Por isso mesmo, esta história é um bom exemplo da relevância prática da posição suíça.
  17. O que significa tudo isto para os particulares que não trabalham no sector público?
    Os particulares devem também estar mais conscientes do local onde os seus dados são armazenados. Atualmente, muitas pessoas utilizam automaticamente plataformas internacionais sem considerar até que ponto estas empresas podem ver a sua vida digital. A decisão suíça recorda-nos que não devemos tratar os nossos próprios dados como uma questão menor, porque a segurança começa sempre com a decisão pessoal de saber em quem confiamos.
  18. Como é que a situação poderá evoluir nos próximos anos?
    É bem possível que a Suíça esteja a definir uma tendência com esta resolução, que mais tarde será retomada na UE. A discussão sobre soberania está a ficar mais forte, não mais fraca. Os Estados e as empresas aperceber-se-ão cada vez mais de que a nuvem não é uma lei da natureza, mas sim uma escolha. E, como qualquer escolha, pode ser reconsiderada - especialmente se os riscos parecerem maiores do que a conveniência num determinado momento.

Deixe um comentário