Tribunal dos Estados Unidos obriga a Microsoft a fornecer dados em servidores no exterior: como manter a segurança dos dados na nuvem
2 Pode 2014Esta semana, um tribunal dos Estados Unidos determinou que um mandado de busca emitido nos EUA é suficiente para o acesso a dados hospedados no exterior em qualquer jurisdição.
Esta semana, um tribunal dos Estados Unidos determinou que um mandado de busca emitido nos EUA é suficiente para o acesso a dados hospedados no exterior em qualquer jurisdição, colocando as autoridades dos EUA em um conflito ainda maior com as leis estrangeiras, especialmente as leis sobre privacidade de dados da União Europeia. O caso envolveu a Microsoft®, Inc., que precisou entregar e-mails armazenados na Irlanda. A Microsoft alegou que os dados estavam fora da jurisdição do mandado, mas um tribunal federal dos EUA discordou. A Microsoft está recorrendo da decisão.
Como muitas empresas dos EUA, a Microsoft havia criado deliberadamente uma instalação de armazenamento de dados sediada na Europa para os cidadãos da União Europeia, sob a premissa de que dados armazenados na jurisdição da UE estariam protegidos pelas leis de privacidade locais. Com base na decisão do tribunal federal, isso pode oferecer muito pouca proteção.
O caso tem profundas implicações para as organizações que usam soluções de colaboração e compartilhamento de arquivos baseadas em nuvem. Se a decisão do tribunal federal for mantida, os dados que estão alojados fora do território dos EUA ainda podem estar sujeitos a acesso pelo governo e pelas autoridades de aplicação da lei dos EUA.
Organizações que utilizam sincronização de arquivos e soluções de compartilhamento de arquivos baseadas na nuvem têm razões para se preocupar. Grande parte dos dados compartilhados com esses serviços está sujeita a regulamentos rigorosos de privacidade de dados. Além disso, os usuários desses serviços podem supor, em termos razoáveis, que a privacidade dos seus dados está sendo mantida. Qual é a solução?
Devemos, antes de qualquer coisa, aplaudir a Microsoft por lutar contra o mandado de busca. Apenas uma empresa com os recursos e a presença global da Microsoft tem uma perspectiva razoável de reverter esta decisão judicial.
Em segundo lugar, a suposição de que o local dos dados fornece proteções para a privacidade está claramente em risco. As organizações precisam buscar proteções adicionais para seus dados. Uma resposta, que nós defendemos, é fornecer acesso exclusivo a chaves de criptografia de dados aos proprietários dos dados. Chaves de criptografia gerenciadas pelo cliente garantem que apenas quem estiver de posse da chave pode ter acesso aos arquivos descriptografados. Com implantação correta, o provedor na nuvem não teria capacidade técnica para descriptografar os arquivos se o cliente remover sua(s) chave(s) mestre(s). Nessas circunstâncias, se uma agência do governo solicitasse acesso aos dados de um provedor de armazenamento de arquivos na nuvem, ele não poderia fornecer esses dados. Somente o proprietário dos dados poderia responder à solicitação. Se tivesse usado esta tecnologia, a Microsoft teria conseguido evitar totalmente a solicitação do mandado de busca.
