A Microsoft “não pode garantir” a soberania dos dados aos clientes na França e, por extensão, a toda a União Europeia, se o governo Trump exigir acesso às informações dos clientes armazenadas em seus servidores, relata o The Register. Anton Carniaux, diretor de comunicações e assuntos jurídicos da Microsoft para a França, declarou isso ao Senado francês como parte de uma investigação sobre compras públicas e seu papel na garantia da soberania digital da Europa.
De acordo com o Foreign Cloud Act, o governo dos EUA tem o direito de obter dados digitais armazenados por empresas de tecnologia dos EUA, independentemente de esses dados estarem armazenados em servidores dentro ou fora dos EUA, e mesmo que esses dados pertençam a cidadãos não americanos.
Questionado sobre mecanismos técnicos ou legais que poderiam impedir tal acesso sob o The Cloud Act, Cargnot afirmou que a empresa “tem uma obrigação contratual com seus clientes, incluindo clientes do setor público, de rejeitar essas solicitações se forem infundadas”. A Microsoft já havia garantido que seus serviços de nuvem na UE seriam supervisionados por um conselho administrativo local e operariam de acordo com a legislação local. Cargnot enfatizou que o governo não pode fazer solicitações que não estejam claramente definidas – se tais solicitações forem recebidas, a empresa solicita a oportunidade de notificar o cliente em questão.
Cargnot também foi questionado se, como representante da administração da Microsoft, no caso de uma liminar juridicamente vinculativa, ele poderia “garantir ao nosso comitê, sob juramento” que os dados de cidadãos franceses não seriam transferidos ao governo dos EUA sem o consentimento expresso do governo francês. “Não”, respondeu Cargnot, “não posso garantir isso, mas, pensando bem, isso nunca aconteceu antes.”
Fonte da imagem: Stefano Ghezzi/Unsplash
Mark Boost, CEO da provedora de nuvem Civo, afirmou: “Um depoimento acaba de confirmar que as empresas de hiperescala dos EUA não podem garantir a soberania dos dados na Europa”. Ele afirmou que a Microsoft reconheceu abertamente o que muitos já sabiam há muito tempo: que leis como a Lei da Nuvem permitem que as autoridades americanas forcem o acesso a dados armazenados por provedores de nuvem americanos, independentemente de onde esses dados estejam fisicamente armazenados. “Isso é mais do que uma mera formalidade. É uma questão real que pode impactar a segurança nacional, a privacidade e a competitividade empresarial”, disse Boost.
Em um desenvolvimento relacionado esta semana, a AWS esclareceu alguns aspectos de sua implementação do Cloud Act em resposta a um número crescente de “consultas sobre como lidamos com solicitações governamentais de dados”. A AWS argumenta que a lei não fornece ao governo dos EUA “acesso irrestrito ou automatizado aos dados armazenados na nuvem”. O Cloud Act permitiu que os EUA firmassem acordos de execução recíproca com parceiros estrangeiros confiáveis para acessar evidências eletrônicas para investigar crimes graves, onde quer que essas evidências estejam localizadas, removendo barreiras sob a lei dos EUA.
«“Pela legislação americana, os ISPs estão efetivamente proibidos de divulgar dados ao governo americano sem uma isenção legal”, afirmou a AWS. “Para obrigar um provedor a divulgar dados, a polícia precisa convencer um juiz federal independente de que há causa provável relacionada a um crime específico e que as evidências do crime serão encontradas onde a busca for necessária.” A AWS afirmou que não divulgou dados de clientes corporativos ou governamentais sob a Lei da Nuvem até o momento.
Fonte da imagem: Mick Haupt/Unsplash
De acordo com a AWS, os princípios da lei “são consistentes com o direito internacional e as leis de outros países”; e a lei “não limita as medidas técnicas e os controles operacionais que a AWS oferece aos clientes para impedir o acesso não autorizado aos seus dados”. O argumento final da AWS, que é claramente direcionado aos concorrentes europeus que tentam tirar vantagem do movimento de soberania de dados, é que o Cloud Act se aplica não apenas a empresas sediadas nos EUA, mas a todos os “provedores de comunicações eletrônicas ou serviços de computação remota” que fazem negócios nos EUA. Isso significa que os provedores de nuvem sediados na Europa que fazem negócios nos EUA também são cobertos.
Microsoft, AWS e Google estão tentando tranquilizar os clientes preocupados da UE de que podem oferecer soberania de dados diante da postura pouco amigável dos EUA em relação a países antes considerados aliados próximos. Apesar disso, a UE está caminhando em direção a uma infraestrutura soberana, observou o The Register, embora nem todos apoiem a ideia. Além disso, muitos na Europa se conformaram com o fato de que não podem prescindir das nuvens americanas. De acordo com o Synergy Research Group, a participação de players locais no mercado europeu de nuvem estagnou em 15%. Alguns deles também se tornaram dependentes da nova política da Broadcom em relação à VMware.