Câteva provocări juridice legate de adoptarea soluţiilor bazate pe Cloud

Autor: 01.12.2014

Data Privacy

, , , ,

Acest articol a apărut în “Revista Română de Drept al Afacerilor” cu numărul 8 din data de 31 august 2014 şi este republicat cu acordul revistei.

Acest articol reprezintă o trecere în revistă a chestiunilor puse în discuţie de autoare în cadrul conferinţei „Cloud Computing: provocări și oportunități din perspectiva protecției datelor”, organizată de Microsoft Romania in data de 4 iunie 2014. Chestiunile abordate se concentrează atât pe ceea ce reprezintă cloud computingul cât şi pe câteva dintre problematicile juridice des întâlnite în legătură cu folosirea acestui tip de serviciu. Totuşi, prezentarea este una succintă, fără a avea pretenţia unei analize exhaustive.

I. Cloud computing pe scurt

Explicat într-un mod simplu, cloud computing înseamnă a oferi capacitate de procesare pentru dispozitive electronice (PC, tablete, smartphones) prin intermediul unei infrastructuri aflate la distanţă. La nivel internaţional nu există o definiţie unanim acceptată a cloud computing-ului, însă anumite instituţii consacrate au încercat să definească fenomenul. De exemplu, Institutul Naţional de Standarde şi Tehnologie al Statelor Unite (NIST) a definit cloud computingul ca reprezentând „un model care permite, la cerere, accesul în reţea comod şi ubicuu la un ansamblu comun de resurse informatice configurabile (spre exemplu reţele, servere, medii de stocare, aplicaţii şi servicii) care pot fi rapid procurate și livrate, cu efort minim sau cu interacţiune minimă din partea furnizorului de servicii”[1]. La rândul său, Comisia Europeană a precizat că cloud computingul poate fi înţeles ca „stocarea, procesarea și utilizarea de date pe computere aflate la distanță și accesate prin intermediul internetului”, reprezentând „o nouă fază de industrializare (standardizare, extindere, disponibilitatea generalizată) a furnizării puterii de calcul în regim de utilitate publică („utility computing”) comparabilă cu industrializarea furnizării de electricitate de către centralele din domeniul energiei”[2].

Comisia a notat următoarele elemente definitorii pentru cloud computing:[3]

  • „hardware-ul (computere, dispozitive de stocare) este deținut de furnizorul de servicii de cloud computing, nu de utilizatorul care interacționează cu acesta prin internet;
  • utilizarea hardware-ului este optimizată dinamic printr-o rețea de computere, astfel încât locația exactă a datelor sau a proceselor, precum și informațiile privind partea din hardware care deservește un utilizator la un moment dat nu trebuie, în principiu, să-l privească pe utilizator, chiar dacă aceste elemente pot avea o influență semnificativă asupra cadrului legal aplicabil;
  • furnizorii de servicii de cloud deplasează adesea sarcinile de lucru ale propriilor utilizatori (de exemplu, de la un computer la altul sau de la un centru de date la altul) pentru a optimiza utilizarea hardware-ului disponibil;
  • hardware-ul la distanță stochează și procesează datele și le pune la dispoziție, de exemplu, prin intermediul aplicațiilor (astfel încât o companie să poată utiliza resursele sale de cloud computing exact în același mod în care consumatorii își folosesc conturile de webmail);
  • organizațiile și persoanele fizice își pot accesa conținutul și își pot utiliza software-ul atunci când și unde au nevoie, de ex. pe computere desktop, laptopuri, tablete și smartphone-uri;
  • o configurație de cloud este formată din mai multe niveluri: hardware, middleware sau platformă și software aplicativ. standardizarea este importantă în special la nivelul intermediar, deoarece le permite dezvoltatorilor să se adreseze unui evantai larg de clienți potențiali și le oferă utilizatorilor posibilitatea de a alege;
  • în principiu, utilizatorii plătesc în funcție de utilizare, evitând costurile inițiale și fixe ridicate pe care le presupun configurarea și exploatarea unor echipamente informatice sofisticate;
  • utilizatorii pot modifica foarte ușor volumul de hardware utilizat (de exemplu, adăugarea de noi capacități de stocare online se poate efectua în câteva secunde, cu câteva clicuri de mouse”.

Serviciile cloud se încadrează în trei mari categorii:

  1. Infrastructure as a Service (IaaS) costă în utilizarea de servere, stocare, sau infrastructură de rețea printr-o conexiune la internet. IaaS este forma de cloud computing cea mai complexă tehnic, care oferă clientului infrastructură pentru dezvoltarea, rularea, și stocarea aplicațiilor sau datelor în medii cloud. Exemplele includ Amazon Web Services, Windows Server, ferme de randare în cloud, etc.;
  2. Platform as a Service (PaaS) constă în proiectarea, dezvoltarea, testarea, implementarea și găzduirea aplicațiilor pe platforme web (dezvoltare aplicații). Example în acest sens sunt Google App Engine, Windows Azure, Facebook Developers;
  3. Software as a Service (Saas) foloseşte un browser web ca platformă de la care rulează aplicații și servicii web-based. Aceasta este cea mai cunoscută formă de servicii cloud pentru utilizatorul obişnuit, exemple fiind multiple: rețele sociale (Facebook, Twitter, LinkedIn), platforme de blogging (Blogger, WordPress), servicii webmail (Gmail, Yahoo, Outlook.com), portaluri de internet banking, platforme de plăți online (PayPal), platforme de servicii HR (Workday, Concur Expense, Concur Travel), platforme de productivitate (HiTask, BaseCamp), aplicații de management client (SalesForce), camere de date virtuale, suite de software de productivitate cum sunt Microsoft Office 365, Adobe Air, etc.

Uneori tipurile de mai sus sunt combinate (layered), de exemplu aplicaţia Skydox (SaaS) pentru colaborare de documente este dezvoltată pe Engine Yard (PaaS) care foloseşte Amazon Web Services (IaaS).

În funcție de tipul de modul de funcționare, mediile cloud pot fi clasificate după cum urmează:

  1. Cloudul public – este un tip de cloud care este disponibil la contractare pentru publicul larg, fiind deținut și operat de către un terț furnizor de cloud. Se cuvine menționat faptul că a fi „public” nu înseamnă că informațiile deținute sunt distribuite către public, ci mai degrabă că tipul de serviciu cloud este, în general, pus la dispoziția publicului pentru contractare. Acest tip de cloud este cel care care se face în general referire atunci când vorbim de cloud computing.
  2. Cloudul hibrid – datele sau aplicațiile sunt portabile și permit conectarea între cloudul public şi cel privat. Scenariul de cloud hibrid poate fi o soluție bună pentru entitățile care au cerințe speciale în anumite domenii, astfel că trebuie să îmbine avantajele cloudului public cu ale celui privat. De exemplu, clienții pot beneficia de aplicații găzduite în cloudul public, dar cu stocarea locală a informației.
  3. Cloudul privat – este un tip de cloud găzduit pentru sau de către o singură entitate într-o rețea privată, cel mai adesea exploatat intern, în cadrul căruia doar cei din cadrul entității respective pot partaja resursele. În realitate, acest mod de operare nu reprezintă propriu-zis cloud, astfel că multe dintre aspectele analizate atunci când vorbim de servicii de cloud computing nu se aplică scenariului de cloud privat.

II. Cloud computingul pe Agenda Digitală

Comisia are ca scop declarat să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, aceasta fiind una dintre prioritățile de pe Agenda Digitală 2020[4]. Un studiu elaborat pentru Comisie în 2011-2012 a identificat beneficii importante ca urmare a adoptării cloud computing[5]: 80% din organizații au raportat o reducere a costurilor cu 10-20%, 46% au raportat o mobilitate crescută a muncii, 41% au o productivitate mai mare, în timp ce alte beneficii includ standardizare (35%), precum și noi oportunități de afaceri (33%) și piețe (32%).

Comisia a identificat trei acţiuni-cheie necesare pentru a creşte încrederea în soluţiile cloud:

  • identificarea unui set de standarde corespunzătoare care pot fi certificate pentru a le oferi achizitorilor publici și privați siguranța că, atunci când adoptă serviciile de cloud, își respectă obligațiile de conformitate și că primesc o soluție adecvată, adaptată nevoilor lor. Această acţiune a fost finalizată de Institutul European de Standardizare în Telecomunicații (ETSI), care a publicat raportul Cloud Standards Coordination[6] în noiembrie 2013;
  • stabilirea unor clauze contractuale și condiții sigure și echitabile, pentru a asigura o certitudine a cadrului juridic aferent, o siguranță ridicată a clientului şi contracte specifice și echilibrate cu furnizorii de cloud. Sub acest aspect efortul este bidirecţional. Pe de o parte, pentru utilizatorii profesioniști este necesară elaborarea unor clauze contractuale tip pentru acordurile privind nivelul serviciului în domeniul cloud computingului, întrucât acestea se află la baza încrederii pe care utilizatorii serviciilor de cloud o pot avea în capacitatea unui furnizor de cloud de a furniza servicii. Pe de altă parte, în ceea ce îi priveşte pe consumatori şi întreprinderile mici, este necesară o legislație europeană comună în materie de vânzări. În această a doua privinţă, Comisia a prezentat deja o propunere de regulament privind legislația europeană comună în materie de vânzări[7], care conține norme adaptate la furnizarea de „conținut digital” care acoperă anumite aspecte ale cloud computingului.
  • A treia şi ultima direcţie de acţiune identificată de Comisie este instituirea unui Parteneriat european pentru cloud, care va reuni experți ai întreprinderilor vizate și utilizatori din sectorul public, care vor elabora, într-un mod deschis și complet transparent, cerințe comune privind achizițiile publice în domeniul cloud computingului. Comisia arată că sectorul public trebuie să aibă un rol de lider în folosirea serviciilor cloud, întrucât este cel mai mare cumpărător de servicii informatice din Uniune, care poate stabili cerințe stricte privind caracteristicile, performanța, securitatea, interoperabilitatea și portabilitatea datelor, precum și de conformitate cu exigențele tehnice. Comisia are în vedere că gruparea cerințelor publice ar putea crește eficiența, iar cerințele sectoriale comune (de exemplu, privind e-sănătatea, îngrijirile sociale, asistența pentru autonomie la domiciliu și serviciile de e-guvernare) ar putea reduce costurile și ar permite interoperabilitatea.

III. Cadrul normativ

Cloud computingul nu beneficiază de o reglementare proprie, nici în România şi nici în Uniunea Europeană. Cadrul juridic relevant pentru tratamentul datelor folosite în mediul cloud constă în actele normative generale în domeniul prelucrării datelor cu caracter personal:

  1. Directiva 95/46/CE privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, care a fost implementată în dreptul român prin legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Directiva 95/46/CE și Legea nr. 677/2001 se aplică atât în cazul în care operatorul este stabilit în Uniunea Europeană, cât și în cazul în care operatorul este stabilit înafara ei dar utilizează un echipament situat în Uniune pentru prelucrarea datelor cu caracter personal (de exemplu, centre de date, servere, etc);

  1. Directiva 2002/58/CE privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice, implementată în dreptul român prin legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
  2. Reglementări secundare emise de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cum este Decizia nr. 132/2011 privind condiţiile prelucrării codului numeric personal şi a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală
  3. Acte emise de alte autorităţi in domenii specifice, cum este cazul Regulamentului BNR nr. 5/2013;
  4. Avize si opinii interpretative emise de Grupul de lucru Art. 29[8], între care cele mai importante în contextul cloud computing sunt Avizul nr. 05/2012 privind „cloud computing”, Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită”, şi Avizul nr. 4/2007 privind conceptul de date cu caracter personal.

Diverse instituţii şi autorităţi la nivel european au emis ghiduri proprii în domeniul cloud computing, menite să ajute potenţialii beneficiari să îşi înţeleagă drepturile şi obligaţiile care le revin, precum şi să ofere unele linii ajutătoare în alegerea unui furnizor de cloud computing. Asemenea ghiduri includ:

  • „Guidelines On The Use Of Cloud Computing Services By Lawyers” emis de Consiliul Barourilor Europene (CCBE)[9];
  • „Guidance on the use of cloud computing”, ghidul emis de autoritatea competentă din Marea Britanie[10];
  • „Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing”, rezoluţia comună a autorităţiilor federale din Germania[11];
  • „How to Protect Your Data Without Falling From a Cloud”, ghidul emis de autoritatea competentă din Italia[12];
  • „Cloud services and the Personal Data Act” ghidul emis de autoritatea competentă din Suedia[13].

IV. Câteva provocări actuale

A. Alocarea rolurilor

Este clar, în contextul serviciilor cloud, că beneficiarul serviciului este operator de date cu caracter personal, el alegând ce date sunt transferate către cloud. Cu toate acestea, rolul furnizorului de cloud nu este la fel de clar, deşi cvasi-majoritatea ghidurilor şi opiniilor antemenţionate îl califică drept persoană împuternicită în temeiul faptului că primeşte date cu caracter personal de la client şi le prelucrează pe seama acestuia, sau operator în comun atunci când şi furnizorul prelucrează datele în scop propriu (de exemplu data mining pentru scopuri de marketing).

O situaţie mai deloc analizată este aceea că furnizorul de cloud s-ar putea să nu fie nici măcar împuternicit, în situațiile in care nu prelucrează activ date. Atunci cand datele doar tranzitează (pasiv) infrastructura furnizorului de cloud (cum este cazul PaaS şi uneori al IaaS), situația este similara cu a furnizorilor de servicii de comunicații electronice (de exemplu furnizorii de servicii internet). Or, potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic) şi legii de implementare nr. 365/2002 privind comerţul electronic, furnizorilor de servicii de comunicații electronice sunt consideraţi furnizori de servicii ai societăţii informaţionale[14], astfel că beneficiază de protecţia intermediarilor – mai exact, furnizorul serviciului nu răspunde pentru informaţia transmisă dacă sunt îndeplinite cumulativ următoarele condiţii: transmiterea nu a fost iniţiată de furnizorul de servicii; alegerea persoanei care recepţionează informaţia transmisă nu a aparţinut furnizorului de servicii; şi conţinutul informaţiei transmise nu a fost influenţat în niciun fel de către furnizorul de servicii, în sensul că nu i se poate atribui nici selecţia şi nicio eventuală modificare a acestei informaţii. Or, în context cloud, toate aceste condiţii sunt de regula îndeplinite[15].

În mod normal, şi furnizorii de servicii cloud ar trebui încadraţi ca furnizorii de servicii ai societăţii informaţionale[16], însă potrivit Directivei 2000/31/CE (Directiva privind comerţul electronic), prevederile acesteia nu se aplică chestiunilor referitoare la serviciile societăţii informaţionale reglementate de Directivele 95/46/CE (privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date) şi 2002/58/CE (Directiva asupra confidențialității comunicațiilor electronice). Drept urmare, s-ar putea trage concluzia că protecţia oferită intermediarilor potrivit Directivei 2000/31/CE (şi implicit Legii nr. 365/2002, chiar dacă aceasta nu preia excluderea) nu se extinde şi în materia protecţiei datelor cu caracter personal, reglementată de cele două directive şi legi speciale. În opinia noastră, o asemenea concluzie este greşită şi contraproductivă, ea nefiind în acord cu natura self-service a serviciilor cloud.

B. Diferenţele între cloud computing şi externalizarea obişnuită

De cele mai multe ori între folosirea serviciilor business de cloud şi externalizare se pune semnul egal, mergându-se pe ideea că furnizorul de cloud face o anumită activitate în locul clientului. Cu toate acestea, chiar dacă în anumite domenii există definiţii extrem de largi ale externalizării (cum este cazul Regulamentului BNR nr. 5/2013), nu trebuie uitat că, de regulă, externalizarea înseamnă crearea unui rezultat propriu, nou, de către furnizor. De exemplu, externalizarea contabilităţii înseamnă că furnizorul ţine el însuşi contabilitatea, externalizarea serviciului HR înseamnă că furnizorul face el însuşi activităţile specifice HR, etc.

Or, de multe ori serviciile cloud nu duc la crearea unui rezultat propriu de către furnizor, ci doar pun la dispoziţia clientului mijloacele IT predefinite prin care clientul însuşi ajunge la un rezultat nou (self-service), prelucrarea fiind făcută direct de către clientul de cloud. Furnizorul de cloud intervine doar pasiv, neoperând activ cu privire la datele implicate ci doar punând la dispoziţie capacitatea de prelucrare şi stocare a datelor respective, gata de a fi folosite de către client la alegerea acestuia.

Pentru clarificare, să luăm ca exemplu situaţia clasică a contabilităţii. În cazul în care operatorul încheie un contract prin care furnizorul preia datele brute şi livrează înapoi beneficiarului registrele contabile, avem o situaţie bine-cunoscută de externalizare. Dacă însă operatorul achiziţionează un soft cu care îşi prelucrează el însuşi datele contabile, în mod evident nu avem o externalizare. Ce se întâmplă însă dacă softul respectiv este în cloud, operatorul neavându-l instalat pe infrastructura proprie dar cu toate acestea efectuând el însuşi înregistrările (prelucrarea)? Este aceasta o situaţie echivalentă cu prima, pentru a spune că avem în faţă o externalizare şi o relaţie operator – împuternicit?

Din punctul de vedere al autoarei răspunsul este negativ, iar asemenea situaţii în care furnizorul de cloud intervine doar pasiv, punând la dispoziţia clientului infrastructura sa, necesită o reevaluare a adecvării dualităţii operator-împuternicit în context cloud, precum şi reglementarea unor beneficii juridice sporite pentru furnizorii de cloud. Doar cu titlu de exemplu, operarea dreptului persoanelor vizate de a interveni asupra datelor este foarte greu de justificat în raport cu furnizorul de cloud ca împuternicit, de vreme ce clientul de cloud este entitatea care are posibilitatea la orice moment să facă orice modificări doreşte, iar furnizorul de cloud are tot interesul (de cele mai multe ori stipulat contractual în beneficiul clientului) să îşi limiteze accesul la datele clientului. Între asigurarea unei securităţi ridicate şi unui control exclusiv al clientului (chestiuni indicate ca motive de îngrijorare de un număr ridicat de potenţiali clienţi) şi drepturile specifice ale persoanelor vizate sub imperiul reglementărilor de protecţie a datelor cu caracter personal credem că balanţa trebuie înclinată de aşa mod încât responsabilitatea pentru respectarea drepturilor persoanelor vizate să fie atribuită în exclusivitate clientului de cloud, în vreme ce accesul şi intervenţia furnizorului de cloud trebuie restrânse la maximul posibil (respectiv obligaţia de a se conforma unei hotărâri emise de un organ competent, cum ar fi un mandat sau hotărâre judecătorească).

C. Datele criptate mai sunt date cu caracter personal?

Una din premisele încadrării în categoria datelor cu caracter personal este necesitatea ca datele în cauză să permită identificarea persoanei vizate. Prin urmare, dacă prin orice modalitate posibilitatea identificării este eliminată, ar rezulta că nu mai suntem în prezenţa datelor cu caracter personal. Această orientare a fost afirmată şi de Grupul de Lucru Art. 29 în Avizul 4/2007 privind conceptul de date cu caracter personal, in ceea ce priveşte anonimizarea prin pseudonime: „Identităţile ascunse pot fi generate astfel încât să nu fie posibilă reidentificarea, de exemplu prin criptografie unilaterală care creează, în general, date anonime”. Poziţia este însă nuanţată în recentul Aviz 05/2014 privind tehnicile de anonimizare[17], în care Grupul de Lucru susţine că pseudonimizarea, care include criptarea, nu este o tehnică de anonimizare ci doar una prin care se „reduce posibilitatea stabilirii unei legături între un set de date și identitatea originală a unei persoane vizate, fiind, prin urmare, o măsură de securitate utilă”. Grupul de Lucru precizează că în cazul criptării cu o cheie secretă „deținătorul cheii poate cu ușurință să reidentifice fiecare persoană vizată prin decriptarea setului de date deoarece datele cu caracter personal încă fac parte din setul de date, chiar dacă sub o formă criptată. Presupunând că s-a aplicat un sistem de criptare de ultimă generație, decriptarea poate fi posibilă numai dacă se cunoaște cheia”.

Chiar dacă aceste precizări recente par că se contrazic cu cele anterioare, în realitate ele se coroborează şi sunt utile pentru serviciile de cloud: mai exact, în cazul criptării unidirecţionale a datelor, astfel că doar clientul de cloud are cheia, pentru clientul în cauză datele evident că nu sunt anonime (de altfel acesta şi este scopul), însă pentru furnizorul de cloud, care nu are cum să întoarcă procesul, datele sunt anonime.

Drept urmare, în măsura în care datele sunt criptate local de către utilizatorul de cloud şi doar acesta are cheia de decriptare, folosirea serviciului de cloud nu mai intra in sfera datelor personale.

D. Accesul autorităţilor străine

O chestiune care creează de multe ori probleme în alegerea unui furnizor de cloud este faptul că, în special atunci când acesta este supus unei alte legislaţii decât cea a clientului, există posibilitatea ca legislaţia locala să prevadă obligaţia furnizorului de cloud de a pune la dispoziţia autorităţilor datele clientului stocate pe infrastructura furnizorului. Bineînţeles, problemele sunt cu atât mai complicate cu cât furnizorul este situat înafara Uniunii sau foloseşte subcontractori din state terţe.

Un precedent nu tocmai fericit, chiar dacă nu în domeniul cloud, este reprezentat de cazul Swift, în care Societatea pentru Telecomunicații Financiare Interbancare Mondiale (SWIFT), cu sediul în Belgia, a fost obligată de către Trezoreria SUA la scurt timp după atacurile din 11 septembrie 2001 să acorde acces la cantități mari de date cu privire la tranzacțiile financiare, ca parte a eforturilor de urmări finanțarea terorismului. SWIFT era supusă jurisdicției SUA pentru că avea un centru de date în California, astfel că a respectat ordinele respective şi a pus la dispoziţie cantități semnificative de date financiare. Deși SWIFT a informat băncile naționale din G-10 și Banca Centrală Europeană cu privire la programul respectiv, niciuna dintre acestea nu a informat autorităţile în materia datelor cu caracter personal. Scandalul care a urmat și amplele investigații naţionale şi europene care au avut loc până în 2010, au condus la negocieri între Uniunea Europeană și Statele Unite care s-au concretizat într-un acord potrivit căruia informațiile vor fi obținute de la SWIFT numai în scopuri de combatere a terorismului, fără a fi păstrate mai mult decât este necesar.

Foarte recent, în iulie 2014 un judecător federal american a decis că Microsoft (care a fost susținută şi de către Apple, Cisco, Verizon și AT&T) trebuie să pună la dispoziţia guvernului SUA e-mailuri ale unui client stocate în serverele din Uniunea Europeană (cont outlook.com), în legătură cu acuzații de legate de droguri și spălare de bani. Microsoft a atacat decizia, executarea acesteia fiind suspendată până la obţinerea soluţiei irevocabile. Între timp, un purtător de cuvânt al Comisiei Europene a precizat că decizia instanţei americane a provocat îngrijorări în cadrul Comisiei, şi că efectele acesteia ar plasa Microsoft în ilegalitate atât potrivit legi irlandeze cât şi potrivit dreptului Uniunii[18].

Aceste două exemple ilustrează două concluzii importante: (1) că autoritățile străine pot găsi motive de a supune entităţi europene și date europene dreptului lor, în temeiul căruia solicită acces la astfel de date, și (2) că deținătorii de date pot fi obligaţi să dezvăluie astfel de date, de bunăvoie sau nu.

Pe de altă parte, nu trebuie uitat nici faptul că inclusiv autorităţile române au prerogative foarte largi ce puţin cu privire la furnizorii români. Pe lângă metodele speciale de supraveghere sau cercetare reglementate de Codul de Procedură Penală, în prezent este în stadiu de proiect Legea privind securitatea cibernetică a României[19], care între altele prevede obligaţia oricăror deţinători de infrastructuri cibernetice (noţiune definită atât de larg încât include chiar şi deţinătorii de tablete sau smartphone) „să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informații, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Informații Externe, Serviciului de Telecomunicații Speciale, Serviciului de Protecție și Pază, CERT-RO și ANCOM, în îndeplinirea atribuțiilor ce le revin acestora și sa permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”. După cum se poate observa, în acest caz nu este reglementat nici un control judiciar anterior solicitării, ceea ce poate deschide uşa unei obligaţii teoretic nelimitate şi nerestricţionate în temeiul căreia furnizorii locali de cloud (şi nu numai) ar trebui să acorde autorităţilor menţionate acces la datele stocate.

Bineînţeles, soluţii prin care clienţii de cloud să se asigure că autorităţile nu pot avea acces la datele stocate în cloud nu există. Clientul de cloud poate însă să se asigure că furnizorul este supus unor reglementări cât mai puţin agresive, şi că practicile acestuia sunt în sensul de a divulga date numai atunci când legea îl obligă, informând totodată clientul despre incident. În aceeaşi linie de idei, este important ca clientul să cunoască localizarea datelor sale (preferabil, inclusiv să aleagă unde sunt localizate data centerele) şi cine sunt (şi în ce stat) subcontractorii folosiţi, coroborat cu reglementarea contractuală a unui drept de informare prealabilă anterior folosirii unui subcontractor nou (cu posibilitatea denunţării contractului dacă nu este de acord). În plus, dacă datele sunt criptate unidirecţional de către client, aşa cum spuneam mai sus, atunci nici furnizorul de cloud şi nici vreo altă autoritate nu va putea avea acces la conţinutul informaţiei respective.

E. Securitatea datelor

Securitatea datelor este una dintre cele mai frecvente probleme menționate în legătură cu utilizarea cloud computingului. Într-un studiu recent cu privire la utilizarea cloud computing în 2013[20], 70% din companiile românești intervievate (mici şi mijlocii) care nu utilizau servicii de cloud au indicat problemele de securitate ca motiv pentru decizia lor, deşi în același timp 93% dintre companiile româneşti participante la studiu şi care folosesc cloud computing au indicat securitatea datelor ca argument principal pentru folosirea serviciilor cloud. Se pare deci că percepția cu privire la securitatea oferită de furnizorii de cloud este polarizată între companiile care folosesc și cele care nu folosesc astfel de servicii. Pentru clienţii care se numără între cei sceptici cu privire la securitatea oferită de furnizor, dar mai ales pentru cei supuşi unor cerinţe speciale (de exemplu instituţii financiare, societăţi în domeniul medical) folosirea criptării unidirecţionale se poate nu numai utilă ci chiar necesară, ea asigurând imposibilitatea accesului atât din partea furnizorului cât şi din partea oricăror terţi.

National Institute of Standards and Technology a subliniat avantajele utilizării serviciilor de cloud, menționând că specializarea personalului (personal dedicat pentru abordarea problemelor de securitate), puterea platformei (mai în măsură să gestioneze activitățile de securitate, cum ar fi controlul de configurare, testarea vulnerabilităţii, audituri de securitate și patch-uri de securitate), disponibilitatea resurselor (scalabilitate pentru a satisface cerințele clienților și pentru a reveni mai repede din incidente grave, cum ar fi respingerea atacurilor asupra serviciului), politici superioare de backup și recuperare, terminalele mobile (principalele resurse de calcul sunt găzduite de către furnizorul de cloud, clientul folosind terminale mobile pentru accesul la date, astfel există un risc mai mic ca furtul si pierderea de dispozitive mobile să ducă la pierderea de date), și concentrarea datelor (date menținute și prelucrate în cloudul public poate prezenta un risc mai mic pentru o organizație cu o forță de muncă mobilă decât dispersarea datelor pe terminale mobile în teren) poate crește de fapt, confidenţialitatea și securitatea datelor sensibile[21]. Mai mult, furnizorii de cloud pot fi mai în măsură să îndeplinească standardele de conformitate operațională și certificare în domenii extrem de reglementate.

Trebuie menţionat şi că securitatea datelor nu intră numai în responsabilitatea furnizorului de cloud. Dimpotrivă, clientul cloud trebuie să aibă propriile politici și măsuri de securitate şi folosire a datelor. De exemplu, în cazul unui serviciu de e-mail cloud-based, o situaţie care ar putea apărea este aceea că un angajat accesează contul de e-mail de la un calculator fără nicio protecție de securitate și infectat cu malware care reţine caracterele tastate, astfel că username-ul şi parola angajatului sunt transmise autorului malware-ului, care poate astfel avea acces neautorizat la datele accesibile de către angajatul în cauză. O astfel de încălcare a securităţii ar avea loc deoarece clientul de cloud (operator de date) nu s-a asigurat că terminalele utilizate de către angajații săi sunt protejate în mod adecvat.

V. În loc de concluzie

Cloud computingul este un domeniu foarte nou, poate tocmai de aceea încă insuficient înţeles şi incomplet reglementat. În prezent, din punct de vedere juridic, suntem chemaţi să aplicăm reglementări care au fost emise sub imperiul altor realităţi, şi care îşi arată astfel neajunsurile. Nu mai puţin însă, deşi probleme pot fi identificate (cele menţionate mai sus fiind doar cu titlu exemplificativ), de regulă acestea nu sunt fără rezolvare. Cloud computingul poate să nu fie adecvat pentru toate entităţile, însă pentru o mare parte dintre acestea, poate reprezenta un pas înainte. Serviciile cloud sunt deja o realitate, şi chiar dacă sunt cu un pas înaintea legislaţiei, în cele mai multe cazuri se pot găsi soluţii şi acum.

[1] http://www.nist.gov/itl/csd/cloud-102511.cfm

[2] Valorificarea cloud computingului în Europa, Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor, SWD(2012) 271, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:ro:PDF

[3]   Idem supra, nota 2.

[4]   “Comisia își propune să faciliteze, în toate sectoarele economiei, adoptarea mai rapidă a cloud computingului, care poate reduce costurile TIC (tehnologia informației și a comunicațiilor) și, în asociere cu noi practici comerciale digitale1, poate stimula productivitatea, creșterea și crearea de locuri de muncă”, idem supra nota 2.

[5]   Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up, 24 februarie 2012, disponibil la http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf

[6] Cloud Standards Coordination – Final Report, noiembrie 2013, disponibil la http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=3988

[7]   Propunere de Regulament al Parlamentului European şi al Consiliului privind Legislația europeană comună în materie de vânzare, COM(2011) 635 final, disponibilă la http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2011:0635:FIN:ro:PDF.

[8]   Disponibile la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

[9]   http://www.ccbe.eu/fileadmin/user_upload/NTCdocument/07092012_EN_CCBE_gui1_1347539443.pdf

[10] http://ico.org.uk/for_organisations/guidance_index/~/media/documents/library/Data_Protection/
Practical_application/cloud_computing_guidance_for_organisations.ashx

[11] http://www.datenschutz-berlin.de/attachments/827/Cloud.pdf?1317298960

[12] www.garanteprivacy.it/garante/document?ID=1906143

[13] http://www.datainspektionen.se/Documents/faktablad-cloudservices.pdf

[14] Serviciu al societăţii informaţionale este orice serviciu care se efectuează utilizându-se mijloace electronice şi prezintă următoarele caracteristici:

  1. a) este efectuat în considerarea unui folos patrimonial, procurat ofertantului în mod obişnuit de către destinatar;
  2. b) nu este necesar ca ofertantul şi destinatarul să fie fizic prezenţi simultan în acelaşi loc;
  3. c) este efectuat prin transmiterea informaţiei la cererea individuală a destinatarului.

[15]   Să luăm ca exemplu situaţia unui serviciu de email în cloud: transmiterea emailurilor este iniţiată de beneficiar, alegerea destinatarului e făcută de beneficiar, iar furnizorul de cloud nu intervine în nici un fel în conţinutul emailului transmis.

[16] A se vedea supra nota 14

[17] WP 216, disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_ro.pdf

[18] http://www.eweek.com/security/european-union-expresses-concern-about-microsoft-email-privacy-case.html

[19] http://www.cdep.ro/proiecte/2014/200/60/3/pl263.pdf.

[20]   SMBs and Cloud Computing. A European wide project for Microsoft EMEA, studiu efectuat de Ipsos Mori, disponibil la http://goo.gl/fTisxB.

[21]   W. Jansen, T. Grance, Guidelines on Security and Privacy in Public Cloud Computing, National Institute of Standards and Technology, pag. 8-10, disponibil la http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf.