Microsoft admite que 'Não Pode Garantir' a soberania de dados

A Microsoft afirmou que "não pode garantir" a soberania de dados para seus clientes na França – e, por consequência, em toda a União Europeia – caso o governo dos EUA exija acesso a informações de clientes mantidas em seus servidores. A declaração foi feita sob juramento durante uma audiência no Senado francês.

O cerne da questão é o CLOUD Act (Clarifying Lawful Overseas Use of Data Act), uma lei federal dos Estados Unidos que concede ao governo americano a autoridade para obter dados digitais mantidos por corporações de tecnologia sediadas no país, independentemente de os dados estarem armazenados em servidores nacionais ou em solo estrangeiro. A lei obriga essas empresas, por meio de mandado ou intimação, a atenderem à solicitação.

Em 18 de junho, durante um inquérito do Senado francês sobre contratações públicas e seu papel na soberania digital europeia, Anton Carniaux, diretor de assuntos públicos e jurídicos da Microsoft França, e Pierre Lagarde, diretor técnico do setor público, foram questionados por políticos locais.

Ao ser perguntado sobre mecanismos técnicos ou legais que poderiam impedir esse acesso sob o CLOUD Act, Carniaux afirmou que a Microsoft "se comprometeu contratualmente com nossos clientes, incluindo os do setor público, a resistir a essas solicitações quando elas são infundadas."

"Implementamos um sistema muito rigoroso, iniciado durante a era Obama por meio de ações judiciais contra solicitações das autoridades, o que nos permite obter concessões do governo americano. Começamos analisando com muita precisão a validade de uma solicitação e a rejeitamos se for infundada", explicou Carniaux.

Ele acrescentou que a Microsoft solicita que o governo dos EUA redirecione o pedido diretamente ao cliente e, quando isso não é possível, a empresa só responde em "casos extremamente específicos e limitados".

No entanto, o momento crucial da audiência ocorreu quando Carniaux foi pressionado a garantir, sob juramento, que os dados de cidadãos franceses não poderiam ser transmitidos ao governo americano sem o acordo explícito do governo francês.

"Não", respondeu Carniaux. "Não posso garantir isso, mas, novamente, nunca aconteceu antes."

A admissão gerou reações imediatas. Mark Boost, CEO da Civo, uma provedora de nuvem, afirmou: "Uma única linha de testemunho acabou de confirmar que os provedores de hiperescala dos EUA não podem garantir a soberania de dados na Europa. A Microsoft admitiu abertamente o que muitos já sabiam há muito tempo."

Boost destacou que a jurisdição legal prevalece sobre a localização física dos dados. "Servidores no Reino Unido ou na UE não fazem diferença quando a jurisdição está em outro lugar."

Em resposta à crescente preocupação, a Amazon Web Services (AWS) fez questão de salientar "cinco fatos" sobre como o CLOUD Act funciona. A empresa argumenta que a legislação não concede ao governo dos EUA "acesso irrestrito ou automático aos dados armazenados na nuvem" e que, para obter dados de conteúdo, as autoridades precisam convencer um juiz federal independente da existência de uma causa provável.

Um ponto crucial levantado pela AWS é que o CLOUD Act não se aplica apenas a empresas sediadas nos EUA, mas a todos os "provedores de serviços de comunicação eletrônica ou de computação remota" que fazem negócios no país.

"Por exemplo, provedores de nuvem com sede na Europa e operações nos EUA também estão sujeitos aos requisitos da Lei", afirmou a AWS, citando o caso da francesa OVHcloud, que em sua própria página de perguntas frequentes admite que cumprirá solicitações legais das autoridades americanas, o que poderia incluir dados armazenados fora dos Estados Unidos.

Apesar das garantias técnicas e dos relatórios de transparência publicados por empresas como a Microsoft, a desconfiança em relação ao governo dos EUA persiste na Europa, alimentando um forte movimento para reduzir a dependência da tecnologia americana.

Tanto a Microsoft quanto a AWS e o Google iniciaram campanhas para assegurar aos clientes europeus que podem fornecer soberania de dados, anunciando a construção de mais datacenters no continente e a implementação de novos controles.

Contudo, conselheiros técnicos e lobistas europeus continuam a pressionar a Comissão Europeia para a criação de uma infraestrutura soberana. Dado os bilhões de dólares que os gigantes americanos transacionam na Europa, a batalha para reter esses negócios será intensa. A seu favor, eles contam com o tempo, pois a construção de uma autossuficiência digital europeia não pode ser alcançada da noite para o dia.

A Microsoft se recusou a comentar o assunto . O Google publicou uma postagem em seu blog. A AWS informou que não tinha nada a acrescentar.

Via - TR