Os dados de milhões de canadianos são armazenados em servidores norte-americanos da Microsoft, Google, Amazon ou Airtable - ao mesmo tempo, o chamado Patriot Act permite basicamente que as autoridades norte-americanas desviem todos estes dados. Por esta razão, os especialistas em proteção de dados há muito que desaconselham o armazenamento de dados pessoais nas nuvens americanas. A província canadiana do Quebeque também quer evitar esta situação a partir de setembro de 2023, através de leis de proteção de dados mais rigorosas.
Neste artigo, ficará a saber em pormenor o que são as novas regras de proteção de dados, quais as consequências para si e quais as soluções disponíveis em conformidade com a proteção de dados.
O Patriot Act em conflito com as leis de proteção de dados a nível mundial
O chamado Patriot Act é uma lei federal em vigor nos Estados Unidos desde os ataques terroristas de 11 de setembro de 2001. Esta lei estabelece que as agências federais americanas, como a NSA ou a CIA, podem aceder a todos os dados localizados nos EUA sem consentimento pessoal ou ordem judicial. O mesmo se aplica às filiais e localizações estrangeiras de empresas americanas, que são obrigadas, ao abrigo do Patriot Act, a conceder acesso aos seus servidores, mesmo que a legislação local o proíba.
O Patriot Act, assinado pelo antigo Presidente dos Estados Unidos, George W. Bush, permite que as autoridades norte-americanas, como o FBI ou a NSA, acedam aos servidores de empresas norte-americanas sem uma ordem judicial.
Mas qual é a dimensão deste problema? Devido ao domínio dos gigantes tecnológicos americanos, como a Microsoft, a Google e a Amazon, muitos dos dados de indivíduos e empresas de todo o mundo acabam inevitavelmente nos EUA. Por exemplo, o serviço americano de colaboração na nuvem Airtable, em que clientes de todo o mundo confiam, utiliza o líder da indústria Amazon Web Services (AWS), também dos Estados Unidos, para armazenar os dados dos seus clientes. Consequentemente, todos os dados dos clientes da AWS, incluindo os dados dos clientes da Airtable, estão alojados em centros de dados dos EUA. Estes estão abrangidos pelo âmbito de aplicação do Patriot Act, que permite às autoridades norte-americanas o acesso sem qualquer consentimento e, em última análise, a vigilância em massa de dados sem mandado.
Devido ao facto de os regulamentos de proteção de dados do Patriot Act estarem em flagrante contradição com as regras de proteção de dados de outros países, está a começar a ser repensada em muitos países uma maior soberania dos dados.
As nuvens dos EUA há muito que são motivo de preocupação do ponto de vista europeu
O facto de a utilização de fornecedores de serviços de computação em nuvem dos EUA estar associada a riscos de proteção de dados é conhecido há já algum tempo no que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD) na UE. A razão para tal, para além do Patriot Act, é o nível de proteção de dados americano, que é significativamente inferior ao da Europa. No entanto, o mais tardar desde a abolição do Escudo de Proteção da Privacidade, a utilização de fornecedores de serviços de computação em nuvem dos EUA já não é apenas controversa para as empresas da UE, mas está mesmo associada a um risco legal. O Escudo de Proteção da Privacidade era um acordo pelo qual o governo dos EUA se comprometia, até 2020, a respeitar as disposições do RGPD no tratamento de dados pessoais provenientes da UE. Uma vez que a transferência de dados pessoais da UE é proibida, as empresas que ainda armazenam ou têm esses dados processados em servidores de fornecedores dos EUA estão a violar as leis europeias, de acordo com alguns especialistas.
Lei 25 da província canadiana do Quebeque
Em 22 de setembro de 2021, o governo da província canadiana do Québec aprovou a "Lei de Modernização das Disposições Jurídicas de Proteção de Dados Pessoais" - abreviadamente, Lei 25 - em conformidade com o RGPD na Europa. Desde então, as regras de proteção de dados contidas na Lei 25 têm vindo a entrar gradualmente em vigor. O projeto de lei visa modernizar as leis de proteção de dados no Canadá, que são consideradas ultrapassadas, tanto para o sector privado como para o sector público, e adaptá-las aos avanços tecnológicos.
A Lei 25 do Quebeque tem vindo a entrar em vigor em etapas anuais desde setembro de 2022.
Conteúdo e efeitos da lei no que respeita ao Patriot Act
A Lei 25 tem como objetivo dar aos cidadãos mais transparência sobre quando e para que fins as empresas recolhem dados pessoais. Para atingir este objetivo, serão aplicadas, a partir de setembro de 2023, novas regras para o tratamento de dados pessoais pelas empresas e instituições. Entre outras coisas, no futuro, terão de obter sempre o consentimento explícito antes de utilizarem os dados de uma pessoa, exceto em alguns casos excepcionais. O consentimento deve ser dado separadamente para cada objetivo específico e deve também ser comunicado abertamente às pessoas em causa. Estas novas regras de proteção de dados entram em conflito com o Patriot Act, que, em princípio, permite que as autoridades americanas acedam a dados pessoais armazenados nos servidores de empresas americanas dentro e fora dos Estados Unidos sem consentimento.
Pode ler todo o conteúdo da Lei 25 aqui
Você ou a sua empresa são afectados pela Lei 25?
Mesmo que a sua empresa não esteja localizada no Quebeque, poderá ser afetada pelo projeto de lei 25. Isto porque as regras associadas à lei aplicam-se não só às empresas do Quebeque, mas - independentemente da localização - a qualquer empresa que trabalhe com dados de residentes do Quebeque. Além disso, o Projeto de Lei 25 é considerado um quadro jurídico inovador no Canadá, que deu o impulso para outras reformas legislativas semelhantes. Por exemplo, o Canadá também irá rever atempadamente as suas leis federais de proteção de dados com o Projeto de Lei C-27, que ainda está a ser debatido no Parlamento e que irá substituir a lei federal PIPEDA atualmente em vigor em todo o Canadá (com exceção das províncias do Quebeque, Colúmbia Britânica e Alberta).
Embora o projeto de lei 25 tenha sido aprovado pelo governo do Quebeque, as empresas e instituições muito para além da região também estão a enfrentar as consequências da lei.
As empresas canadianas enfrentam sanções severas
A partir de setembro de 2023, as empresas canadianas serão sujeitas a sanções severas se não cumprirem as novas regras em matéria de privacidade. O projeto de lei 25 tem um regime de aplicação robusto em comparação com os seus antecessores, criando um modelo de coima de dois níveis e um direito de ação nos tribunais civis. Para cumprir os novos requisitos de proteção de dados da Lei 25 e evitar sanções e multas, é necessário adaptar os procedimentos de gestão dos dados dos clientes e rever as políticas de proteção de dados da sua empresa.
As consequências são particularmente drásticas para as empresas canadianas que armazenam e processam dados em nuvens americanas, como o Airtable, o Google Workspace ou o Microsoft 365. De acordo com as leis em vigor a partir de setembro, já não é permitido alojar dados pessoais de cidadãos canadianos em centros de dados dos EUA. Por conseguinte, todas as empresas e organizações canadianas que o façam serão obrigadas a mudar para alternativas quando as novas regras entrarem em vigor, em setembro de 2023.
Patriot Act vs. proteção de dados - Como tornar-se independente dos fornecedores dos EUA
À primeira vista, não parece tão fácil alojar dados pessoais independentemente dos fornecedores dos EUA, ou seja, fora do âmbito da Lei Patriota. De facto, existem algumas alternativas às nuvens dominantes nos EUA. Se atualmente ainda utiliza o Airtable, o Google Sheets ou o Microsoft Excel para armazenar dados pessoais, o SeaTable, por exemplo, pode ser a solução certa para si. Esta base de dados e solução de colaboração económica e poderosa é uma alternativa 100% compatível com a privacidade. Sendo uma empresa europeia que valoriza a máxima segurança dos dados, o SeaTable virou as costas ao líder da indústria americana, a AWS, numa fase inicial. Em vez disso, a versão em nuvem do SeaTable está alojada em centros de dados alemães do fornecedor suíço Exoscale, o que significa que os dados estão sujeitos a rigorosos requisitos europeus de proteção de dados.
Comparado com o Airtable, o SeaTable impressiona pelo multilinguismo, limites de memória mais elevados e um preço mais baixo, entre outras coisas.
Além disso, o SeaTable oferece uma variante auto-hospedada com a qual pode instalar e utilizar o software como uma solução no local, nos seus próprios servidores. Isto proporciona-lhe uma soberania absoluta dos dados e o máximo controlo sobre o local onde os seus dados são armazenados. Qualquer que seja a opção escolhida, o SeaTable está em conformidade com as leis canadianas de proteção de dados.
Pretende recolher dados de uma forma estruturada, concluir tarefas de forma eficiente e desenvolver processos poderosos - sem ter de se preocupar com a segurança dos seus dados? Então veja com os seus próprios olhos e registe-se aqui para obter uma subscrição gratuita do SeaTable, que já lhe oferece inúmeras funções úteis. A subscrição é totalmente gratuita para si e é uma oportunidade perfeita para testar o SeaTable sem compromisso.
Ainda não está convencido? Pode encontrar mais informações sobre o SeaTable no sítio Web.
Sugestão para os utilizadores do Airtable
Pode encontrar uma comparação pormenorizada do Airtable e do SeaTable aqui. Como utilizador do Airtable, também tem a opção de migrar convenientemente todos os seus dados de base para o SeaTable com a ajuda de um script, sem quaisquer conhecimentos de programação. Este artigo de ajuda explica como isto funciona.
"*" indica campos obrigatórios
