A lei portuguesa é omissa – e as diretivas da UE também: legalmente as empresas que prestam serviços de cloud computing não estão obrigadas a criar qualquer tipo de backup ou cópia de segurança, que garanta que os dados dos clientes, sejam eles empresariais ou consumidores individuais, não se perdem após uma qualquer avaria ou erro humano.
O que acontece se um serviço de cloud computing perder os dados do cliente? A questão merece a mesma resposta tanto dos defensores como dos detratores da atual legislação: à falta de uma lei, o consumidor terá de tentar fazer valer o denominado «direito civil» e provar em tribunal que o prestador do serviço atuou de forma dolosa ou negligente. Este quadro legal é válido tanto para a empresa que perdeu todos os dados de negócio como para o utilizador que perdeu as fotos que tirou no telemóvel; e é a única forma de apurar as responsabilidades de serviços que recorrem a servidores sedeados em Portugal ou no estrangeiro.
À falta de uma entidade de supervisão especializada, a legislação atribui à Autoridade Nacional das Comunicações (ANACOM) responsabilidades de supervisão das comunicações eletrónicas e, depreende-se, que por inerência também poderá ter uma palavra a dizer no que toca ao cloud computing. Ao que a Exame Informática apurou, até agora não foi entregue qualquer reclamação na ANACOM contra serviços de cloud computing que alegadamente tenham perdido os dados dos clientes.
Luís Pisco, jurista do Gabinete de Estudos da Associação Portuguesa para a Defesa do Consumidor (DECO), comenta da seguinte forma o facto de a lei portuguesa não exigir backups aos operadores de cloud computing: «Hoje, há um vazio em termos de responsabilização; é necessário criar legislação (para os backups de cloud computing), mas não pode ser apenas a nível nacional. É necessário uma regulação ao nível europeu».
A Exame Informática também consultou um advogado com experiência nestes casos, que pediu para não ser identificado por questões profissionais, e que dá a conhecer o argumento que leva as empresas de cloud computing a escusarem-se de qualquer responsabilidade no que toca à criação de backups: «Os prestadores dos serviços (de cloud computing) não têm obrigação de saber que dados são guardados pelos utilizadores. E por isso não podem ser responsabilizados pelas cópias de segurança desses dados».
O mesmo advogado relembra ainda duas questões que facilmente podem ser invocadas na barra de tribunal, caso consumidores ou empresas portuguesas acusem alguma marca de cloud computing de perda ou dano de repositórios de dados: 1) o decreto-lei 7/2004, que regula as comunicações eletrónicas, dispensa as marcas de cloud computing da «obrigação geral de vigilância» dos conteúdos dos clientes, apesar de fixar como obrigatoriedade a cooperação com as autoridades quando há suspeita de infração (pirataria, espionagem industrial, pedofilia, etc.); 2) como este segmento não está regulado, as marcas de cloud computing consideram que apenas estão obrigadas a cumprir o que está nos contratos assinados pelos utilizadores (os tradicionais “termos & Condições” que costumam surgir no último passo de adesão a um qualquer serviço).
Talvez por entenderem que «só o que está contratualizado tem valor de lei», os serviços de cloud computing mais usados em Portugal abordam a questão dos backups de uma forma similar, que pode ser resumida numa única frase: «A marca X não é responsável por qualquer falha ou perda que os repositórios dos clientes possam registar. O cliente deve fazer backups regulares dos conteúdos que armazenam nos serviços de cloud computing». Apple, Amazon, Google, Microsoft, DropBox, PT, LunaCloud e Vodafone são alguns dos vários serviços de alojamento de dados e aplicações que aplicam esta cláusula nos serviços de cloud computing.
António Miguel Ferreira, diretor-geral da Luna Cloud, sublinha que uma hipotética obrigatoriedade no que toca aos backups pode ter repercussões comerciais: «As marcas de cloud computing apenas fornecem a solução que aloja os dados; não cabe às marcas que prestam estes serviços intervir (nos dados dos clientes). Se fossem obrigadas a fazer essa intervenção, o preço do serviço seria bem diferente».
O líder da Luna Cloud recorda que um serviço de backup compreende funcionalidades que alegadamente os serviços de alojamento de dados não estarão em condições de disponibilizar com os custos cobrados atualmente, que em vários casos, são inexistentes: o backup pressupõe políticas das cópias de segurança (periodicidade; compressão, máquinas usadas, etc) e distingue-se pela capacidade de recuperar, no repositório de segurança, dados que até podem ter sido apagados pelo proprietário.
O facto de os backups não serem obrigatórios por lei não significa que as maiores marcas não façam cópias de segurança. Um exemplo: na Luna Cloud, cada ficheiro de um internauta é replicado para duas cópias de segurança (que são geridas pelo prestador de serviço e não pelo consumidor). António Miguel Ferreira recorda que há outras grandes marcas de cloud computing que copiam, a título de segurança, os dados dos clientes, a fim de menorizar danos causados por erros humanos ou falhas técnicas. Estes serviços podem não ser geridos pelos donos dos dados, mas evitam futuros litígios em tribunal. «Garantimos uma disponibilidade dos repositórios de 99,9%», acrescenta António Miguel Ferreira, dando como exemplo a taxa de fiabilidade estimada para a Luna Cloud.
O mesmo advogado que solicitou a não revelação de identidade quando questionado pela Exame Informática recorda ainda que, entre as empresas de alojamento de dados, o backup tende a ser encarado como um serviço que pode ter dois graus: 1) um primeiro grau em que é atribuído apenas o “espaço” para armazenamento de cópias de segurança que é gerido pelo proprietário dos dados e pelo qual o prestador de serviço também não se responsabiliza; 2) e um segundo grau em que, além do “espaço” para alojamento dos dados, o prestador do serviço é responsável pela manutenção da cópia de segurança e por isso exige mais recursos técnicos e humanos e tem custos acrescidos.
Nenhum dos argumentos invocados pelas marcas de cloud computing chegam para demover Luís Pisco: «A legislação tem de incluir cláusulas que acautelem os casos de negligência ou de dolo dos prestadores de serviço. Só em caso de cataclismo ou desastre natural, o prestador não deverá não ser responsabilizado, uma vez que nada poderá fazer para resolver os danos causados por estes casos».
O jurista da Deco compara o argumento que costuma ser aventado pelas marcas de cloud computing para não se responsabilizarem pelos dados dos clientes a um cenário imaginário em que é permitido a um banco guardar os bens de um cidadão, mas assume responsabilidades caso o cofre seja roubado. Luís Pisco admite que a solução possa passar pela criação de protocolos de âmbito mundial, a redação de condutas que passem a guiar o cloud computing e eventualmente o impedimento de marcas que não acautelam os direitos do consumidor de entrar nos mercados onde é aplicado esse requisito.
Mais uma vez Luís Pisco relembra algumas práticas em vigor noutros setores que poderiam ser úteis para uma futura regulação do cloud computing: «Na aviação comercial, está fixado um valor médio por quilo para a compensação dos viajantes sempre que se extravia uma mala de viagem, que as companhias também não sabem o que trazia lá dentro».
Hugo Séneca