Últimas notícias

"Nuvem soberana" ou "lavagem soberana"? Um cavalo de Troia nas portas digitais da Europa.

AWS, Microsoft, Google - todas elas lançaram recentemente "nuvens soberanas". Mas a verdade é que todas as empresas norte-americanas estão sujeitas à legislação norte-americana em matéria de partilha de dados. Vamos analisar se é seguro utilizar as nuvens dos EUA ou se se trata apenas de uma "lavagem soberana".

Sovereign clouds or sovereign washing? A Trojan Horse at Europe's digital gates.

A ambição da Europa em matéria de soberania digital é mais urgente do que nunca. Mas, em vez de apoiarem serviços verdadeiramente europeus, que dão prioridade à privacidade, muitas empresas europeias e até mesmo autoridades locais e da UE ainda dependem da tecnologia dos EUA e podem considerar as novas e brilhantes ofertas de "nuvem soberana" como uma solução útil. Mas e se a "nuvem soberana" for menos segura do que as empresas americanas querem fazer crer? Vamos analisar em profundidade a "Nuvem Soberana da Microsoft", a "Nuvem Soberana da Google" e a anunciada "Soberania Digital Europeia da Amazon Web Services" e saber se é seguro utilizá-las enquanto autoridade ou empresa europeia.

“Lavagem soberana”: o conto de fadas das grandes empresas tecnológicas americanas

Nos últimos meses, todas as grandes empresas tecnológicas norte-americanas lançaram “nuvens soberanas”, seja a “Microsoft Sovereign Cloud”, a “Sovereign Cloud da Google” ou a “European Digital Sovereignty da Amazon Web Services” - todas elas prometem às organizações da UE proteger os seus dados e aderir às elevadas normas europeias de proteção de dados.

A sua mensagem parece muito convincente: “Armazenaremos os seus dados na Europa, seguiremos as suas regras e traremos empregos e infra-estruturas.” Mas quando parece bom demais para ser verdade, normalmente é. De facto, a “nuvem soberana” não é mais do que um Cavalo de Troia - embora pareça bom por fora, o seu objetivo é fazer com que as empresas e as autoridades da UE confiem os seus dados aos serviços dos EUA.

Mas a verdade é que isto não é soberania. Isto é marketing. Isto é lavagem de soberania.

Ilusão de soberania digital

Comecemos pelo óbvio: o facto de os seus dados estarem armazenados na Europa não significa que estejam protegidos pelas leis europeias. Os fornecedores de serviços de computação em nuvem dos EUA, mesmo quando operam a partir de centros de dados europeus, estão sujeitos à jurisdição dos EUA - especialmente através de leis como a CLOUD Act e a FISA 702.

Isto significa que, ao abrigo da legislação americana, empresas como a Microsoft, a Amazon e a Google podem ser obrigadas a fornecer às autoridades americanas acesso a dados de empresas e autoridades europeias, mesmo que esses dados estejam armazenados na UE e fora dos Estados Unidos.

Sim, podem criar uma entidade jurídica europeia separada ou associar-se a uma empresa local em nome de uma suposta “soberania”. Mas enquanto a tecnologia, o código fonte, as actualizações de serviços ou os mecanismos de controlo permanecerem nas mãos dos americanos, a Europa não tem verdadeira soberania sobre os seus dados ou a sua infraestrutura digital.

Tem havido muitas tentativas de permitir que as organizações da UE utilizem ofertas de serviços de computação em nuvem dos EUA de uma forma legalmente compatível, mas devido às leis de vigilância dos EUA, nenhuma dessas tentativas foi bem sucedida até à data. Por exemplo, a decisão Schrems II do Tribunal de Justiça Europeu anulou o acordo Privacy Shield entre os EUA e a UE precisamente porque as leis de vigilância dos EUA são incompatíveis com os direitos de proteção de dados da UE garantidos pelo RGPD europeu. As “ofertas soberanas de nuvens” são apenas mais uma tentativa de legalizar as nuvens dos EUA na UE.

Mas sempre que os dados pessoais são - ou podem ser - transferidos para um país terceiro como os Estados Unidos, deve ser assegurado um nível de proteção adequado. Do ponto de vista da UE, isto é problemático devido ao Cloud Act e a certos riscos políticos, que comprometem o nível de proteção de dados exigido.

Até a Comissão Europeia receia que a sua utilização da Microsoft viole as leis de proteção de dados da UE. A Comissão está agora a procurar fornecedores europeus de serviços de computação em nuvem para substituir o Microsoft Azure.

O controlo prometido pelos fornecedores de serviços de computação em nuvem dos EUA é uma ilusão perigosa.

Turn ON Privacy in one click.

A contestação jurídica é inútil

Mesmo as salvaguardas técnicas mais robustas não oferecem uma verdadeira proteção. Quer através de acesso direto, quer através da cooperação forçada de empresas parceiras, a Microsoft, a Google e a Amazon podem ser forçadas a entregar dados de empresas e autoridades europeias.

O “Data Guardian” da Microsoft pode criar a aparência de transparência, mas uma vez que o acesso tenha ocorrido, mesmo os registos mais invioláveis são inúteis: Limitam-se a documentar um acontecimento, por exemplo, a entrega de dados às autoridades americanas, que não pode ser anulado.

A Microsoft - que é quem mais tem a perder com este movimento europeu a favor de uma maior soberania digital - está também a fazer as promessas mais ousadas. Uma delas é a de que desafiará legalmente os pedidos americanos de cedência de dados. Mas o que é que isso significa realmente? De facto, é mais simbólico do que prático. Estas acções legais não impedem realmente que os dados sejam entregues - porque mesmo quando se contesta um pedido, a Microsoft tem primeiro de o cumprir, pelo que os dados já desapareceram. O dano já está feito. Uma ação judicial é, na maioria dos casos, absolutamente inútil.

Lavagem soberana

Estas soluções supostamente soberanas não são sinais de independência técnica, mas sim estratégias de comunicação perfeitamente orquestradas. São concebidas para criar confiança onde, na verdade, não existe qualquer controlo. As empresas americanas não oferecem verdadeira soberania digital, o que estão a fazer aqui é apenas uma reembalagem inteligente de um problema não resolvido, e é muito semelhante à lavagem de privacidade.

E, tal como as alegações de “privacidade” das empresas tecnológicas americanas, a estratégia da lavagem de soberania é exatamente a mesma:

  1. Fazer um mercado difícil - Marcar a nuvem americana como “compatível com a Europa”.
  2. Criar dependência - Tornar as empresas e autoridades europeias dependentes das suas ofertas de computação em nuvem através de integrações e código-fonte fechado.
  3. Fazer muito lobby - Inundar Bruxelas com lobbies, influenciar e gastar mais do que a concorrência europeia em todos os esforços de lobbying.
  4. Saltar os impostos - Os lucros regressam às sedes nos EUA e, com estratégias de otimização fiscal, as empresas americanas pagam muito poucos impostos na UE.

É inteligente. Mas não é do interesse da Europa.

Localização, localização, localização

O que é verdade para os compradores de casas também é verdade para a soberania digital: é tudo uma questão de localização.

Embora os fornecedores de serviços de computação em nuvem dos EUA continuem a dominar o mercado europeu, as empresas tecnológicas americanas não podem garantir as promessas que estas empresas fazem sobre a soberania digital. As ofertas dos EUA podem agora usar uma bandeira europeia na manga, mas o rótulo de soberania não passa de um rótulo: as empresas que oferecem as chamadas “nuvens soberanas” continuam a estar sujeitas às leis e aos poderes de vigilância dos EUA - e isso não pode ser apagado. Portanto, sim, a Lei CLOUD e a FISA 702 continuam a aplicar-se, mesmo que o servidor esteja em Frankfurt, Bruxelas ou Paris.

Se a Europa leva a sério a soberania digital, tem de ultrapassar a ilusão de que esse controlo é possível com os serviços dos EUA. A verdadeira soberania só pode ser construída sobre infra-estruturas fornecidas por empresas europeias, não sujeitas à jurisdição dos EUA.

A soberania não vem de nomes de produtos novos e brilhantes, como estas “nuvens soberanas”. Vem do controlo jurídico e técnico total. Tudo o resto não passa de lavagem soberana.

Façam a escolha certa: Escolham a Europa.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.