joi, 5 iunie 2014

Aspecte juridice legate de datele din cloud

 

Astăzi am audiat evenimentul „Cloud Computing: provocări şi oportunităţi din perspectiva protecţiei datelor” organizat de către două mari case de avocatură și Microsoft România. Cred că este firesc ca un avocat să selecteze doar faptele favorabile clientului său atunci când îl reprezintă în fața instanței, mă așteptam însă ca astăzi să fie totuși o prezentare echilibrată. Nu a fost așa, toate întrebările de după fiecare prezentare au fost amânate până la final iar prezentările au ocolit cu grijă orice aspect nefavorabil cloud-ului.

20140604_100717

Am să refolosesc una dintre pildele date de o avocată speaker … Încerca să demonstreze că, pentru un cloud de tip platformă respectiv Azure, datele sunt prelucrate de către clientul Microsoft și răspunderea este exclusiv la acesta. Se făcea că atunci când era copil își ajuta bunica să facă cozonaci. Iar bunica, din hărnicie, făcea foarte multe tăvi de cozonac pentru coacerea cărora apela la o vecină. Ideea era că bunica niciodată nu ar fi admis că acei cozonaci copți la vecină sunt făcuți de vecină. Folosind acest exemplu eu aș întreba următoarele: dacă vecina avea un cuptor cu lemne în care ar fi ars anterior deșeuri toxice acestea ar contamina și strica cozonacii – mai este în acest caz meritul / răspunderea bunicii ?

La concret și în acest moment eu am următoarea percepție despre Azure / Office365 / Google Aps / Facebook /etc. Tehnic cloudul este minunat. Mai performant, mai sigur, mai ieftin. Problemele țin exclusiv de faptul că serverele sunt înafara României și se amestecă mai multe legislații după cum urmează.

Legea aplicabilă activității de oferire a unui cloud are următoarele straturi. Cea mai importantă este legea țării unde sunt instalate serverele. Apoi vine legea țării unde este înregistrată compania care operează serverele, apoi vine contractul cu clientul (legea părților) și undeva, vag, legea țării a cărei cetățean este clientul. Niște exemple pot fi mai clare:

Dacă un utilizator de cloud consideră că funcționarea Azure nu corespunde contractului va trebui să se judece în Irlanda după legea Irlandeză.

Dacă parchetul dorește să obțină acces la date din cloud cererea sa va fi evaluată de provider atât în baza legii românești cât și în baza legii locale, cererea trebuie să corespundă ambelor iar răspunsul depinde și de tratate bilaterale dintre cele două țări.

Dacă un utilizator de Gmail consideră că datele sale personale au fost afectate se poate plânge autorității românești. Aceasta va sesiza autoritatea din țara unde se aflâ operatorul și va colabora cu aceasta trimițând declarația utilizatorului. Anchetarea Gmail o va face însă autoritatea locală după legea locală iar sancțiunea poate fi dată doar de aceasta. Din acest motiv în legea românească de protecție a datelor personale se cere notificarea/aprobarea transferului de date personale din România în altă jurisdicție – acordul este facil dacă transferul este în interiorul EU pentru că legislația este identică și nu scade gradul de protecție a datelor.

Dacă clientul face un contract cu o firmă românească pentru a cumpăra servicii de cloud , spre exemplu Office365, va semna atât un contract cu aceasta (care acoperă clauze financiare) cât va accepta și licența de utilizare a Microsoft Irlanda intrând deci în scenariile de mai sus. Dacă o firmă românească, spre exemplu un magazin online, are infrastructura în cloud atunci o problemă legată de clienții săi (spre exemplu istoricul cumpărărilor este furat printr-o vulnerabilitate a cloud-ului) îi obligă pe aceștia să se adreseze direct Microsoft Irlanda întrucât acesta a fost declarat ca împuternicit într-o zonă obscură undeva pe site-ul autorității de protecție a datelor personale.

Nimic din cele de mai sus nu a fost atins, nici măcar vag, în prezentări. Mai mult, la întrebarea lui Bogdan Manolea, Microsoft a declarat că proiectul de lege cu privire la securitatea cibernetică nu se aplică Azure. Adevărat, însă se omite că prin acest proiect magazinul online din exemplul de mai sus (presupunând că  este atât de mare încât să fie considerat de interes național ) are niște obligații care nu sunt acceptate de Azure și prin urmare ori nu-l folosește ori lucrează în ilegalitate. Cred că era de interes pentru mulțimea de potențiali clienți din sală.

Trebuie însă să remarc faptul că Microsoft spre deosebire de Google acceptă inspecții onsite chiar dacă doar din partea autorităților de supraveghere financiară și că sunt singurii ale căror clauze contractuale ( standard și nenegociabile ) pentru serviciile de cloud au fost binecuvântate de specialiștii Comisiei Europene. Un gând bun și pentru D-na Zanfir, reprezentanta ANSPDCP, care , în ciuda faptului că evident autoritatea este depășită de subiect, a reușit să ofere o prezență onorabilă.

Niciun comentariu:

Trimiteți un comentariu