Soberania dos Dados em um Mundo Regulamentado

Soberania de dados pode ter significados diferentes para diferentes pessoas. Algumas consideram que a soberania de dados significa que as nações podem ter os seus dados tratados sob suas leis. Entretanto, o que constitui “seus dados”? Embora muitas pessoas possam firmar contratos envolvendo a propriedade de dados e falar sobre ela, não há um claro consenso acerca de quem “possui” os dados, a menos que estejamos falando sobre obras com direitos autorais, às quais o rótulo de “detentor dos direitos autorais” se aplica. As nações podem declarar sua cidadania e, portanto, tentar reivindicar a propriedade das informações sobre seus cidadãos. Pelo menos nos Estados Unidos, por exemplo, o estado de Massachusetts reivindica jurisdição sobre violações de dados envolvendo informações de seus cidadãos, independentemente do local da empresa. A nova lei de proteção de dados da Rússia assume uma visão similar que abrange serviços que coletem ou processem deliberadamente os dados pessoais dos cidadãos russos.

Sob o caso de uso mais frequente do termo, soberania de dados  é o conceito de que os dados estão sob a jurisdição do país em que residam fisicamente. Isso não elimina um nexo suficiente para que outro país afirme ter jurisdição, mas realmente favorece uma declaração muito mais prática de jurisdição, porque a aplicação da lei do país pode confiscar fisicamente os servidores no próprio país.

Localização dos dados

Muitos países estão tentando eliminar as lacunas entre essas definições, restringindo o fluxo internacional de informações fora de suas fronteiras. Países europeus que aderem à Diretiva de Proteção de Dados impedem o fluxo de informações entre fronteiras sobre pessoas físicas, a menos que o país receptor tenha leis com características semelhantes ao modelo europeu. Esta característica de semelhança garante uma forma de controle jurisdicional sobre as informações após sua transferência. As empresas australianas agitaram-se em 2014 com as alterações nos Princípios Australianos de Privacidade, que exigiam que empresas receptoras de dados (ainda que fora da Austrália) aderissem aos princípios. As Regras Vinculativas para as Empresas, um mecanismo para a aceitação de dados de europeus nos termos de uma decisão judicial do Artigo 29 do Grupo de Trabalho da Diretiva de Proteção de Dados, requer que uma empresa receptora de dados sujeite-se especificamente a uma autoridade de proteção de dados na Europa.

Alguns países estão levando isso um passo adiante, exigindo que os dados sobre seus cidadãos sejam armazenados e processados em seu país ou no modelo mais restritivo, e que jamais possam sair do país. A Rússia assumiu a abordagem anterior, com sua Lei Federal 242-FZ recentemente aprovada.Essa lei exige que as informações dos cidadãos sejam processadas no país (no chamado banco de dados principal), embora sejam permitidas transferências para outros países (bancos de dados secundários). O Brasil considerou ir ainda mais longe, com o seu Marco Civil da Internet (lei sobre direitos civis na Internet). A lei exigiria que as informações pessoais dos cidadãos brasileiros permanecessem no país e proibiria a exportação para outros países. Outros países têm leis semelhantes, mas ligadas apenas a categorias muito mais estreitas de pessoas e setores, como na exigência da China de que dados de funcionários públicos chineses permaneçam no país.

Qualquer umas dessas abordagens poderia ser chamada de localização dos dados, um requisito para que os dados sejam armazenados localmente no país. As justificativas para tal exigência são apresentadas com frequência como a finalidade de proteger a privacidade dos dados dos cidadãos. Isso foi especialmente verdadeiro depois que as revelações de Snowden documentaram ampla vigilância e coleta de dados pela Agência de Segurança Nacional dos EUA em todo o mundo. No entanto, as razões são muito menos nobres. Os países desejam a soberania dos dados . Em outras palavras, eles desejam ter o controle jurisdicional sobre as informações ligadas aos seus cidadãos. Não é seu desejo confiar no cumprimento das demandas e solicitações do governo por entidades estrangeiras. Na era da informação, o controle sobre a população requer conhecimento sobre os cidadãos. Outra justificativa não declarada é puro protecionismo econômico. Ao exigir que os dados sejam armazenados e processados no país, o país-sede obriga o setor doméstico de tecnologia da informação a crescer.

Atenuações tecnológicas dos problemas de soberania de dados

Existem alguns métodos para impedir que uma nação declare propriedade sobre dados. A abordagem mais óbvia é resistir a armazenar, transmitir ou processar informações nesse país. Exceto pelas declarações de extraterritorialidade dos Estados Unidos no caso da Microsoft, poucas nações tentam controlar informações fora de suas fronteiras e que não envolvam seus cidadãos. Portanto, manter dados fora do solo de um país reduz seus esforços para a obtenção dos dados, pelo menos por canais legais e judiciais. Manter dados no país de origem também cumpre requisitos de conformidade quanto à localização dos dados. No entanto, essa abordagem pode ser difícil para países com operações multinacionais. Manter infraestruturas separadas para acatar requisitos de localização e evitar reivindicações territoriais às informações pode ser bastante caro e contraria a centralização das atividades em um esforço para obter economias de escala. Alguns dos maiores provedores de nuvem, porém, oferecem versões regionalizadas, no esforço de amparar as obrigações de conformidade.

A criptografia também pode servir como uma tecnologia potencial de atenuação. Contudo, é preciso haver o cuidado para que as chaves de criptografia não sejam acessíveis pelo país em que os dados criptografados são mantidos. O uso de criptografia com preservação do formato pode permitir que o software que prevê certos tipos de dados estruturados processe dados ausentes nas informações reais. A criptografia pode ser problemática, já que muitos países restringem seu uso, de modo que é preciso haver o cuidado de não violar as leis locais. Não há certeza de que os dados criptografados em um país e armazenados em outro sejam ilegais, já que muitas vezes a tecnologia de criptografia e seu uso é que são restritos, não os dados em si. Outra questão em aberto é se os dados criptografados que saem de um país fugiriam aos requisitos de localização. Neste caso, é fundamental a consulta a um advogado local.

Em última análise, não há uma solução mágica. As empresas devem conhecer as nuanças locais das leis onde operam, pois o desconhecimento pode resultar em multas e outras penalidades. Como ocorre em muitas situações no mundo empresarial, uma abordagem baseada em risco geralmente é a única abordagem. É preciso identificar adequadamente tais riscos e atenuá-los o máximo possível. Com relação à soberania de dados e requisitos de privacidade , as empresas devem educar sua força de trabalho, modificar seus processos para o atendimento de novas demandas e implementar soluções tecnológicas que abranjam todo o ciclo de vida do conteúdo — dados em repouso, em trânsito e em uso.