O "bug" da proteção de privacidade está na legislação dos EUA

O "Cloud Act" americano e as regras europeias sobre dados pessoais, às quais a Suíça aderirá em setembro de 2023, não são compatíveis, mas...

A bandeira de estrelas e listras dos Estados Unidos da América ao fundo de uma câmera de videomonitoramento (Foto: Francesco Ungaro/Pexels)
A bandeira de estrelas e listras dos Estados Unidos da América ao fundo de uma câmera de videomonitoramento (Foto: Francesco Ungaro/Pexels)

O que acontece com nossos dados pessoais ou mesmo sensíveis quando chegam a uma nuvem?
Deve-se dizer imediatamente que estamos protegidos por leis de privacidade potencialmente ineficazes se a nuvem for dos EUA. Eventos de notícias recentes, de fato, recentemente se comprometeram a provar isso.
Alguns acontecimentos bastante marcantes levantaram o clamor da opinião pública sobre a questão do sigilo da informação, tudo às vésperas da entrada em vigor da nova LPD ou Lei de Proteção de Dados e Transparência da Confederação Suíça.

No LAC em Lugano, um "LPD Day" 2022 cheio de grandes novidades

A montadora Tesla, que vende muitos carros na Suíça e na Europa, está sujeita ao US Clarifying Legal Overseas Use of Data
A montadora Tesla, que vende muitos carros na Suíça e na Europa, está sujeita ao US Clarifying Legal Overseas Use of Data

Uma investigação alemã descobriu a caixa de Pandora

No episódio de 6 de maio da transmissão "Patti Chiari" do RSI, foi levantada a questão da proteção de dados pessoais relacionados ao seu uso por um conhecido fabricante americano de carros elétricos.
Vários episódios são destacados, mas principalmente falamos de três casos muito significativos em que o Procurador de Berlim, Andreas Winkelmann, solicitou os dados relativos a dois acidentes rodoviários e um caso de excesso de velocidade ao fabricante dos veículos envolvidos: a Tesla.
Surpreendentemente, não só obteve os dados que, obrigatórios e úteis por lei, correspondem à dinâmica da viatura relativa aos cinco segundos anteriores ao impacto: o Procurador recebeu também os dados relativos à abertura da porta da viatura uns bons quarenta e oito segundos após o impacto e ainda o vídeo, gravado pela câmara traseira da viatura, relativo à intervenção dos socorristas na sequência do acidente.
O serviço suíço de Rádio e Televisão não menciona se houve ou não autorização de um juiz para pedidos de acesso a dados por parte do Ministério Público.

Salas de dados seguras e autodeterminação digital: dois “obrigatórios”

O Regulamento Geral de Proteção de Dados (em inglês GDPR é a sigla em inglês General Data Protection Regulation), oficialmente Regulamento (UE) número 2016/679, é um regulamento da União Europeia relativo ao processamento de dados pessoais e privacidade, adotado em 27 de abril de 2016
O Regulamento Geral de Proteção de Dados (em inglês GDPR é a sigla em inglês General Data Protection Regulation), oficialmente Regulamento (UE) número 2016/679, é um regulamento da União Europeia relativo ao processamento de dados pessoais e privacidade, adotado em 27 de abril de 2016

O problema subjacente: os Estados Unidos não são a… UE

Vamos dar um passo para trás embora. Por que se fala tanto da Tesla e tão pouco da Renault, BMW, Mercedes e outras montadoras? Há um problema, e apenas um: é a localização da sede da empresa. Enquanto Renault, BMW, Mercedes são empresas europeias, aliás da União Europeia, a Tesla é uma empresa americana.

Essa estranha percepção do digital na ausência de know-how

"Cloud computing" (em italiano "nuvola informatica") indica, em tecnologia da informação, um paradigma para a prestação de serviços oferecidos a pedido de um fornecedor a um cliente final via Internet (como arquivamento, processamento ou transmissão de dados), começando a partir de um conjunto de recursos pré-existentes, configuráveis ​​e remotamente disponíveis na forma de uma arquitetura distribuída
"Cloud computing" (em italiano "nuvola informatica") indica, em tecnologia da informação, um paradigma para a prestação de serviços oferecidos a pedido de um fornecedor a um cliente final via Internet (como arquivamento, processamento ou transmissão de dados), começando a partir de um conjunto de recursos pré-existentes, configuráveis ​​e remotamente disponíveis na forma de uma arquitetura distribuída

O US Cloud Act é muito menos “rigoroso”

O que dizemos é um problema para nossa privacidade?
Certamente sim, pois as empresas norte-americanas, sob pena de cessação total de suas atividades, devem se submeter a uma lei americana, o Cloud Act, onde "Cloud" não significa o serviço normal de Internet que provavelmente cada um de nós usa, mas é na verdade um sigla que significa “Clarifying Legal Overseas Use of Data”.
Isso estabelece que mesmo os dados armazenados "no exterior", portanto fora dos Estados Unidos, devem estar sempre acessíveis ao governo dos EUA, às forças policiais e a outros órgãos oficiais, sejam eles de Estados americanos ou estrangeiros, que possam solicitá-los.
Isso significa que, se alguma entidade autorizada solicitar ao fabricante do veículo ou a qualquer outro prestador de serviços o acesso aos dados de um usuário, seja pessoa física ou jurídica, o prestador poderá contestar a legalidade dessa solicitação no tribunal competente nos EUA.
No entanto, o Cloud Act, aprovado em nível federal em 23 de março de 2018, substituindo o Stored Communications Act (SCA) de 1986, autoriza os juízes dos EUA a fazer com que esses provedores prossigam com a entrega de dados mesmo sem um motivo legal específico.

Responsabilidade digital: Swiss a primeira marca no mundo

Um data center ao lado de um computador pessoal: eles devem ser o santuário da privacidade (Foto: Antonio Moreno Nadal/Pexels)
Um data center ao lado de um computador pessoal: eles devem ser o santuário da privacidade (Foto: Antonio Moreno Nadal/Pexels)

As possíveis consequências? Não podemos nos opor

Isso abre a porta para o acesso aos dados sem que os órgãos solicitantes tenham as autorizações específicas.
A única condição para a entrega dos dados é que o pedido seja proveniente de um órgão sediado em um estado que cumpra os requisitos padrão de respeito aos direitos humanos e à privacidade.
Não existindo regulamentação específica a este respeito, neste momento o prestador é obrigado a fornecer os dados solicitados sem que possa, de facto, opor-se de qualquer forma.
Portanto, não sabemos o que e quantos dados os fabricantes de veículos transmitem para a matriz, mas podemos ter certeza: se o fabricante for americano, não estamos protegidos de forma alguma contra o acesso a informações que nos dizem respeito, mesmo sem o nosso consentimento explícito. .
O Ministério Público de Berlim obviamente trabalha no interesse da comunidade, mas sem a autorização de um juiz alemão, se ele tivesse solicitado os dados diretamente à Tesla, que é obrigada a fornecê-los, provavelmente teria cometido um delito em seu próprio país. .
A questão é ainda mais sutil: com o Cloud Act, não podendo de fato receber a recusa do tribunal, qualquer procurador poderia solicitar, com base em investigações preventivas não relacionadas a um fato ocorrido, mas apenas com base em uma suspeita , os dados de qualquer pessoa em qualquer circunstância.
Isso permitiria encontrar as provas necessárias para solicitar ex post a autorização legal para novo acesso aos dados (uma vez que os primeiros foram contratados ilegalmente, de acordo com a legislação europeia).

Tudo sobre privacidade na hora do compartilhamento em massa

O disco rígido de um computador pessoal é um coletor de dados pessoais e sensíveis (Foto: Antonio Moreno Nadal/Pexels)
O disco rígido de um computador pessoal é um coletor de dados pessoais e sensíveis (Foto: Antonio Moreno Nadal/Pexels)

Muitos de nossos dispositivos são fabricados nos EUA

Então, apenas evite comprar carros americanos?
Nem por isso: nossa vida digital costuma viajar em dispositivos que fazem interface com softwares produzidos nos Estados Unidos e que tentam de todas as formas, por meio de pop-ups ou solicitações de autorização, acessar nossos dados enquanto realizamos nossas ações diárias.
E o UX (ou User eXperience), se você decidir ignorar essas tentativas de login, se tornaria muito impraticável: você seria inundado com e-mails e notificações vermelhas.
Aconselho sempre todas as empresas e particulares a interagirem o menos possível com este tipo de empresa, para terem um maior controlo da sua vida digital e dos seus dados pessoais.
Com a nova lei LPD (Lei de Proteção de Dados Pessoais e Transparência), que entrará em vigor na Suíça em 2023º de setembro de XNUMX, será mais fácil para um cidadão da Confederação Suíça abordar o respeito por seus dados.
A nova legislação incentiva os sistemas de privacidade baseados dentro e fora da Suíça a colaborar uns com os outros, atendendo também ao GDPR.
Desta forma, todos poderão obter respeito por seus dados, mesmo fora da Confederação, simplesmente entrando em contato com as autoridades suíças.

Facebook, os dados de milhões de perfis divulgados publicamente online

O logotipo do Dia LPD
O logotipo do Dia LPD

Estamos seguros? Lugano irá em busca de respostas…

Vamos tentar recapitular: nossos dados na nuvem estarão seguros com a nova lei LPD? Será suficiente que os servidores de uma empresa americana estejam fisicamente na Suíça para serem protegidos?
Na verdade não: o Cloud Act permite o acesso aos nossos dados em qualquer caso.
Ainda há muito o que trabalhar, inclusive para informar os cidadãos sobre seus direitos. Vou tentar organizar o primeiro “Dia LDP” em 14 de junho no LAC em Lugano.

A Guardia di Finanza lança verificações gerais sobre privacidade online

A Lei de Proteção de Dados Pessoais e Transparência (LPD) está destinada a mudar os paradigmas da privacidade na Suíça: espera-se que entre em vigor em 2023º de setembro de XNUMX
A Lei de Proteção de Dados Pessoais e Transparência (LPD) está destinada a mudar os paradigmas da privacidade na Suíça: espera-se que entre em vigor em 2023º de setembro de XNUMX
Dados pessoais Dados sensíveis