Métricas e diretrizes para aplicação da LGPD em Cloud Computing_ um estudo de caso

Prévia do material em texto

Métricas e diretrizes para aplicação da LGPD em Cloud Computing: um estudo de caso.
Mickael L. de Oliveira1 , Everton dos S. Silva2
Instituto Federal Catarinense (IFC) Araquari – SC – Brasil
{mklelis99,evertonsantos50707}@gmail.com
Abstract. The accelerated technological development highlighted the need to evolve the accessibility, mobility and data security in order to gain productivity and efficiency in the multi tasks performed by its employees. Considering the sustainable growth of IT, a hybrid solution of IT commercialization was created, cloud computing (Cloud computing), its use is still growing, but already holds a large amount of data, among these data many are personal. Therefore, laws were developed to ensure the security of this information, in Brazil was created the (LGPD), is the General Law of Protection of Personal Data. In this context, the concepts of cloud computing are described throughout the study. The article is a bibliographic review study that aims to provide the basis for the application of LGPD in cloud computing. 
Resumo. O acelerado desenvolvimento tecnológico evidenciou a necessidade de evoluir a acessibilidade, mobilidade e a segurança dos dados, a fim de ganhar produtividade e eficiência nas multi tarefas executadas pelos seus colaboradores. Considerando o crescimento sustentável da TI, criou-se uma solução híbrida de comercialização de TI, a cloud computing (Computação em nuvem), seu uso ainda é crescente, mas já detém uma grande quantidade de dados, dentre esses dados muitos são pessoais. Sendo assim foram desenvolvidas leis para garantir a segurança dessas informações, no Brasil criou-se a (LGPD), é a Lei Geral de Proteção a Dados Pessoais. Neste contexto, são descritos ao longo do estudo os conceitos sobre cloud computing é aplicações da LGPD. O artigo é um estudo de revisão bibliográfica que visa fornecer as bases para a aplicação da LGPD no âmbito da computação em nuvem.
1. Contextualização
Com a evolução da rede de computadores mundial conhecida como Internet, surgiram novas tecnologia que estão, segundo MAGRANI (2018), “constantemente presente em nossas vidas no uso de celulares, o acesso à internet, aplicativos, jogos eletrônicos, a “internet das coisas” (Internet of Things, IoT), com dispositivos conectadas à rede possibilitando o uso de vários recursos como TVs, pesquisas instantâneas e assim por diante.” Com esse crescimento constante cada vez mais, tem gerado um grande processamento e volume de dados, isso tem se tornando uma das principais preocupações para área de TI.
Uma das soluções criadas para esse grande volume de dados foi a Cloud Computing, segundo SOUSA (2019), “computação em nuvem (Cloud Computing) é fruto da evolução e da reunião dos fundamentos técnicos de áreas como virtualização de servidores, Grid Computing (Computação em Grade), Software orientado a serviços, gestão de grandes instalações (Data Centers), dentre outras”.
A computação em nuvem compartilha recursos computacionais dinamicamente, conforme a necessidade de cada cliente, sendo que esses recursos são disponi de acordo com a necessidade e em qualquer lugar com acesso internet. 
Atualmente existem nuvem de acordo com cada necessidade da empresa ou do cliente vantagens da computação nuvem são muitas o uso os recursos de infraestrutura de TI (hardware, software e gestão de dados e informação), armazenamento de dados entre outras vantagens. Com tudo ainda há dúvidas sobre como dados são armazenados e gerenciados na nuvem. Os dados sensíveis são os que podem apresentar maiores problemas e, a partir desse pressuposto foi criada a leis que trata exatamente sobre a proteção desses dados, a LGPD, ou Lei Geral de Proteção de Dados. A grande dúvida que veio a tona é se a computação em nuvem estarão em compliance (conformidade) com as novas regras que a leis de proteção de dados (LGPD) do Brasil preconiza.
Segundo SENADO (2020), “essa demanda é nova em todo o mundo e na Europa já está em vigor a GPDR (General Data Protection Regulation, ou em português, Regulamento Geral de Proteção de Dados), que está vigente desde agosto de 2020”. Como a lei deve ser cumprida, com o passar do tempo todas as estruturas novas ou já existentes deverão atender a essa regulamentação e as possíveis condutas legisladas a partir dessa lei No Brasil não será diferente, a LGPD ainda é recente, por isso há poucos estudos sobre sua aplicação e aplicabilidade.
Este trabalho fará uma breve revisão bibliográfica, que deve obter uma base de como funciona o atual sistema das nuvens computacionais e, dentro deste contexto podemos nos especificar com uma revisão em torno da LGPD, já que o objetivo do trabalho é servir como base para sua aplicação dentro de uma estrutura de cloud computing. 
Dessa forma, o objetivo principal deste trabalho é viabilizar um embasamento para aplicação da LGPD dentro da estrutura da computação em nuvem. 
2. Fundamentação teórica		
2.1. Cloud computing
A computação em nuvem vem tornando-se a grande novidade no mundo do TI, evoluindo cada vez mais. A nuvem veio para facilitar a vida das empresas e de todo o mundo baseada em um conceito que oculta à complexidade da infraestrutura. Para o uso dos serviços, os usuários precisam apenas ter um dispositivo que tenha acesso a internet através de um navegador.
Todos os recursos computacionais são de fácil acesso na nuvem, os usuários não precisam ter computadores robustos para acessar esses recursos, que em muitas das vezes são alugados na nuvem. Com isso, o custo efetivo para se obter computadores para a sua rede interna torna-se menos dispendioso.
A infraestrutura do ambiente de computação em nuvem é composta por cluster, que é um agregado de vários dispositivos físicos que trabalham em conjunto paralelamente como um super computador, por exemplo e, interconectados por meio de uma rede de computadores como ilustra a Figura 1.1. As máquinas físicas possuem as mesmas configurações de software, mas podem possuir alteração na arquitetura de hardware em termos de CPU, memória e armazenamento em disco.
	
Figura 1.1 – Visão geral da computação em nuvem (SOUSA ET al. 2009).
A cloud computing tem como objetivo fornecer, basicamente, três benefícios. 
· Diminuir o custo para aquisição de mais recursos de infraestrutura, estes recursos sempre estarão disponíveis de acordo a necessidade da empresas, podendo crescer conforme a sua demanda, assim reduzindo custo;
· Disponibilidade e flexibilidade de recursos de hardware e software de acordo com a demanda da empresa, assim podendo escalar conforme a necessidade e o aumento do volume de dados que empresa precisará;
· Prover facilidade de acesso aos dados e serviços dos usuários, e sempre terá que estar acessível aos serviços de nuvem .
Com o crescimento da utilização dos serviços e produtos em nuvem foi criado o conceito de Utility Computing, que tem como objetivo fornecer componentes básicos como armazenamento, processamento e largura de banda para acesso a estes dados na nuvem de acordo com a necessidade do cliente, através de provedores de nuvem com um baixo custo. A grande vantagem de usarem os serviços de Utility Computing, é que o cliente não precisa se preocupar com capacidade de armazenamento, processamento e outros, estes recursos sempre estarão disponíveis de acordo com a necessidade, com uma capacidade praticamente infinita. Os usuários não precisam manter um departamento de TI (Tecnologia da Informação) para fazerem cópias de restauração (backup) ou acesso a seus dados, isso tudo é de responsabilidade dos provedores contratados, desde manter backup a manter disponível o acesso 24 horas por dia. 
Uma razão importante para a construção de novos serviços baseados em Utility Computing é que provedores de serviços que utilizam serviços de terceiros pagam apenas pelos recursos que recebem, ou seja, pagam pelo uso. Não são necessários investimentos iniciais em TI e o custo cresce de forma linear e previsível com o uso, com tudo se resume em redução de custo financeiro para as empresasque contratam os serviços nuvem terceirizada (Ruschel; Zanotto; Mota, 2010).
2.2. Características Essenciais
O NIST (Instituto Nacional de Padrões e Tecnologia) retrata que o protótipo de computação em nuvem é integrado por cinco propriedades, três protótipos de serviço e quatro protótipos de inserção. Alguns desses atributos, em conjunto, definem unicamente a computação em nuvem e faz o discernimento com outros paradigmas (NIST, 2009).
Self-service sob demanda 
Os clientes podem obter parcialmente recursos computacionais, como tempo de processamento no servidor ou espaço de armazenamento na rede, de acordo com a necessidade e sem a necessidade da interação humana com os provedores de cada serviço. O hardware e software dentro de uma nuvem podem ser reconfigurados e, estas modificações são apresentadas para os clientes, que devem possuir perfis diferenciados e assim conseguem personalizar seu ambiente computacional, como por exemplo, instalação de software e configuração de rede para a definição de determinados privilégios.
Amplo acesso 
Recursos são cedidos por meio da rede e acessados através de métodos padronizados que possibilitam o uso por plataformas thin ou thin client, ou seja, cliente em uma rede de modelo cliente-servidor, como exemplo temos os celulares, notebooks e personal digital assistants (PDA). A interface de acesso à nuvem não necessita de uma grande mudança no ambiente do usuário, exemplo, linguagens de programação e sistema operacional. Já os sistemas de softwares clientes instalados localmente para o acesso à nuvem não consome muita memória interna.
Pooling de recursos
 
Os recursos computacionais do provedor de serviço em nuvem são organizados em um pool para servir múltiplos usuários usando um modelo multi-tenant ou multi-inquilino (Jacobs and Aulbach 2007), com diferentes recursos físicos e virtuais, ajustado dinamicamente de acordo com a necessidade dos usuários. A localização física dos recursos computacionais procurado em nuvem não precisa ser de conhecimento dos usuários, esta localização, portanto, é especificado em um nível elevado de abstração, tais como o país, estado ou centro de dados. 
Elasticidade rápida 
Se você precisa expandir conforme a demanda cresce e liberar recursos quando a demanda aumenta, você pode adquirir recursos com rapidez e flexibilidade. Em alguns casos, Para os clientes, os recursos disponíveis parecem ser ilimitados e podem ser adquiridos a qualquer hora e em qualquer lugar. A virtualização pode usar um único recurso real para criar várias instâncias do recurso solicitado, ajudando assim a computação em nuvem a se tornar resiliente rapidamente [Aboulnaga et al. 2009]. Além disso, a virtualização é um método de abstrair as características físicas de uma plataforma de computação dos usuários, exibindo outro hardware virtual e simulando um ou mais ambientes.
Serviço medido 
O sistema em nuvem tem o controle e disponibiliza a otimização automática do uso de processos por meio de aplicações de medição. A automação acaba sendo o mas adequado para o nível de abstração dos serviço disponíveis, como armazenamento, processamento, largura de banda e contas de usuário ativas. A utilização dos recursos pode ser monitorada e controlada, de forma que os prestadores e usuários dos serviços utilizados sejam transparentes. Para garantir a qualidade do serviço ou qualidade do serviço (QoS), um método baseado em acordo de nível de serviço ou acordo de nível de serviço (SLA) pode ser usado. O SLA fornece informações sobre a disponibilidade, funcionalidade, desempenho ou outros níveis de atributos do serviço, como faturamento e até multas por violação desses níveis.
2.3. Modelos de Serviços 
O ambiente de computação em nuvem é composto de três modelos de serviços. Estes modelos são importantes, pois eles definem um padrão arquitetural para soluções de computação em nuvem. A Figura 1.2. exibe estes modelos de serviços [Armbrust et al. 2009].
Figura 1.2. Modelos de Serviços na computação em nuvem (SOUSA ET al. 2009) 
Software como um Serviço (SaaS)
Neste modelo de SaaS proporciona sistemas de software na nuvem com propósitos específicos que estão disponíveis para os usuários através da Internet. Os cliente acessa este software por meio de uma interface thin client, através de dispositivos que tenha uma conexão com a internet. Usando este modelo o cliente não precisa se preocupar com sua infraestrutura interna, manutenção, backup entre outros, com isso a único foco que é desenvolver e melhorar a aplicação. O SaaS também chamado de software baseado em web, permite que os usuários acesse a qualquer momento através da internet, assim permitindo uma maior interação. Uma das vantagem e o controle de acesso a este software, se caso o pagamento da licença não ocorra o acesso é suspenso ou limitado, assim evitando fraude de software. Segundo CIURANA (2009), “os recursos podem ser implementado automaticamente aos sistemas de software sem que os usuários percebam estas ações, tornando transparente a evolução e atualização dos sistemas.”
Plataforma como um Serviço (PaaS)
A PaaS e um sistema que oferece hospedagem e implementação de hardware e software para a realização de teste de aplicação em nuvem. A plataforma permite que o usuário alugue um espaço na nuvem para hospedar a suas aplicações, onde o mesmo não possui controle e acesso a infraestrutura, incluindo sistema operacionais, rede, servidores ou armazenamento. A PaaS possui ferramentas de desenvolvimento permitindo auxílio na implementação de sistemas de software, sistemas operacionais, um ambiente de desenvolvimento para a aplicações com a sua linguagens de programação. “Em geral, os desenvolvedores desta plataforma de serviço dispõem de ambientes escaláveis, mas possui algumas restrições quanto ao tipo de software que se pode desenvolver, mas possui limitações no ambiente que impõe na aceitação das aplicações e também no tipo de chave-valor na utilização de sistemas de gerenciamento de banco de dados (SGBDs), ao invés de banco de dados relacionais” (SOUSA; MOREIRA; MACHADO, 2009). 
Segundo CIURANA (2009), “do ponto de vista do negócio, a PaaS permitirá aos usuários contratarem serviços de terceirizados, aumentando o uso do modelo de suporte no qual os clientes se inscrevem para solicitações de serviços de TI ou para resoluções de problemas pela Web. Com isso, melhorar o gerenciamento e as responsabilidades das equipes de TI das empresas.”
Infraestrutura como um Serviço (IaaS)
O IaaS é a parte da infraestrutura formada por servidores que permite acesso aos seus serviços PaaS e o SaaS via internet. O principal objetivo do IaaS é facilitar o acesso ao serviços e recursos, tais como servidores, armazenamento, rede e outros recursos de fundamentais para ter acesso ao sistema e suas aplicações. Algumas das características da IaaS, e que ela possui interface para gerência da infraestrutura da rede, Application Programming Interface (API) para gerenciar os equipamentos de rede de forma simples, rápida e escalável de acordo com a necessidade da empresa. Em geral, o usuário terá acesso a aplicação na nuvem e poderá gerenciar toda a rede remotamente de forma rápida. Segundo (SOUSA; MOREIRA; MACHADO, 2009), “IaaS se refere a uma infraestrutura computacional baseada em técnicas de virtualização de recursos de computação. Esta infraestrutura pode aumentar de forma flexível, aumentando ou diminuindo os recursos de acordo com as necessidades das aplicações. Do ponto de vista de economia, ao invés de comprar novos servidores e equipamentos de rede para a ampliação de serviços, pode-se aproveitar os recursos disponíveis e adicionar novos servidores virtuais à infraestrutura existente de forma dinâmica.”
Papéis na Computação em Nuvem
Para o acesso dos diferentes tipos de perfil de usuário que fazem parte do grupo que possui o acesso nesta nuvem, eles estão dentro de um conjunto hierárquico de permissão e acesso definido pelo desenvolvedor desta nuvem. Para entender melhor a cloud computing, pode-se classificaros atores dos modelos de acordo com os papéis designado (Marinos, 2009). A Figura 1.3 destaca esses papéis.
1.3. Papéis na computação em nuvem (SOUSA et al, 2009).
O provedor que fornece o serviço em nuvem é responsável por gerenciar, disponibilizar e monitorar toda uma estrutura para a solução qualquer problema de forma rápida, com isso os usuário final e os desenvolvedores de aplicação não precisa se com essa responsabilidade, estes serviços são fornecido em três modelos. Os desenvolvedores utilizam os recursos fornecidos e disponibilizam serviços para os usuários finais. Esta organização em papéis ajuda a definir os atores e os seus diferentes interesses. Os atores podem assumir vários papéis ao mesmo tempo de acordo com os interesses, sendo que apenas o provedor fornece suporte a todos os modelos de serviços.
2.4. Modelo de Implantação 
Em relação ao acesso e disponibilidade de ambientes de computação em nuvem, existem diferentes tipos de modelos de implantação. O controle ou abertura de admissão fica dependente do processo de negócio, amostra de informação e nível de visão. As empresas atuais não desejam que os usuários comuns tenham acesso as recursos de forma ilimitada no ambiente da nuvem. Seguindo essa demanda, existe a opção por um ambiente mais seguro, no qual apenas usuários com nível de autorização, possam utilizar determinados serviços. A computação em nuvem no que se refere a sua implantação pode ser divida em nuvem pública, nuvem privada, nuvem comunitária e nuvem híbrida [Mell e Grance 2009].
Nuvem Privada
A implantação de uma nuvem privada permite que ela seja gerenciada pela própria empresa ou por terceiros. Neste modelo de implementação, adota-se a estratégia de acesso aos serviços. As tecnologias que fornecem esses recursos podem estar no gerenciamento de rede, na configuração do provedor de serviços e no nível de autenticação e tecnologias de autorização utilizadas (NIST, 2009). Comparado com outros modelos de implantação de nuvem, este modelo apresenta o menor risco em comprometer sua privacidade. Além disso, embora esse modelo traga alguma comodidade ao ambiente da empresa, o modelo requer uma gestão interna, reduzindo assim a economia de recursos. Além disso, por estar diretamente associado aos processos da empresa, pode ser transformado automaticamente com base em tarefas como atualizações.
Nuvem Pública 
Nesse modelo de implantação, a infraestrutura em nuvem pode ser usada pelo público em geral ou por vários grupos do setor (NIST, 2009), e qualquer usuário que conheça a localização do serviço pode acessá-la. Portanto, as restrições de acesso não podem ser aplicadas ao gerenciamento de rede, ou mesmo a tecnologias de autenticação e autorização. O conceito de nuvem pública fornece às organizações maiores economias de escala por meio de recursos compartilhados. Por outro lado, possui restrições personalizadas que estão precisamente relacionadas à segurança da informação, SLA e políticas de acesso, pois os dados podem ser armazenados em locais desconhecidos e não podem ser facilmente recuperados.
Nuvem Comunidade 
A característica desse modelo é a nuvem ser compartilhada por várias empresas e suportada por comunidades específicas que compartilham benefícios semelhantes (como tarefas, requisitos de segurança, estratégias e considerações de flexibilidade). Este tipo de modelo de implantação pode existir local ou remotamente, podendo ser gerenciado por determinadas empresas ou terceiros (NIST, 2009), semelhante ao modelo de nuvem privada, envolvendo a definição de políticas de acesso e o uso de tecnologias de autenticação . E autorização. Outro fator que vale a pena mencionar é que os dados podem ser armazenados com os dados de outros concorrentes da comunidade.
Nuvem Híbrida
A característica desse modelo é que ele consiste em dois ou mais modelos de implantação de nuvem (comunidades privadas ou públicas), que são mantidos como entidades únicas e vinculadas por meio de padronização ou tecnologia proprietária, permitindo, assim, dados e aplicativos (por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens) (ISACA, 2009). A adesão desta tecnologia requer classificação e rotulagem completas dos dados para garantir que sejam desi ao tipo de nuvem correto. O ponto fraco deste modelo é o alto risco, pois combina diferentes formas de implantação.
3. Segurança na computação em nuvem 
A segurança da computação em nuvem é uma parte essencial, mas visa proteger seus dados e recursos de tentativas de hacking, vazamento de dados, perda de dados e outras ameaças possíveis. Embora algumas pessoas ainda relutam em armazenar dados confidenciais online, para implantação de aplicativos, escalabilidade, automação, velocidade e tempo de atividade, os benefícios são enormes para desenvolvedores e equipes de segurança de rede. a inclusão de medidas de segurança na computação em nuvem tem uma abordagem orientada à segurança, e uma abordagem focada na nuvem significa um sistema de segurança bem projetado. Desta forma, ele pode agir e se adaptar às mudanças no sistema, ao invés de ter que usar uma única lista de verificação de segurança (ICLOUD, 2020). No entanto, dependendo do setor, os provedores de segurança em nuvem podem aplicar certas medidas de segurança. Isso protege os dados do cliente, incluindo o seguinte: 
· Certificação de nível 1 do provedor de serviços PCI DSS 3.0;
· Certificação ISO 27001;
· Certificação CSA STAR;
· Atestado de conformidade SOC 2 tipo 2 e HIPAA;
· Criptografia de 256 bits, AES em repouso;
· Criptografia TLS em trânsito;
· FIPS-140;
· Estrutura EU Safe Harbor da UE.
Riscos de segurança da computação em nuvem
A computação em nuvem vem com riscos, incluindo preocupações sobre a proteção dos dados. Medidas de contenção precisam ser tomadas. Deve haver atenção apropriada para questões alusiva à privacidade. Por exemplo, a regra de privacidade da Lei de Portabilidade e Responsabilidade da Saúde - HIPAA, fornece proteção de informações da saúde. Os elementos essenciais de algo seguro, são Confidencialidade, Integridade e Disponibilidade. Todos dados acessados e as modificações devem ser realizada apenas pelos responsáveis autorizados. Os backups servem para garantir a disponibilidade e a integridade das informações. Medidas que podem ser usadas para fortalecer a segurança, incluem autenticação e autorização - A autenticação pode ser decorrente de um banco de dados com usuários cadastrados com nickname e senha, ou algum código de identificação e uma senha, já a autorização e decorrente do nível que o usuário será cadastrado, recomendado ter alguém que valide os usuários e seus privilégios (ICLOUD, 2020). 
Gerenciamento de segurança é a segurança da rede
Um aspecto do gerenciamento salvaguarda é a segurança da rede. Contudo, tipos conhecidos dos ataques incluem ataques de Negação de Serviço e Negação Distribuída de Serviço e Man-in-the-middle. Uma rede privada virtual pode ser usada para fornecer acesso a uma rede nativa. Uma rede privada virtual - VPN, é uma conexão segura para acesso remoto a uma rede nativa (ICLOUD, 2020).
Custos de tecnologia e a demanda dos negócios
A busca por preços acessíveis, a indispensabilidade de reduzir os custos de tecnologia e a demanda por maior agilidade na forma como a tecnologia é usada fizeram com que as empresas adotassem estratégias de computação em nuvem. no entanto, essas estratégias servem para que o uso da infraestrutura, as plataformas e os sistemas de software fornecidos pelos provedores de nuvem sejam aproveitados. Dessa forma, podem transferir a tecnologia da informação - TI, um serviço que de costume interno para um terceiro. Embora as empresas tenham experiência com a tecnologia que possibilita a nuvem e utilizem a terceirização para o TI para controlar custos ou melhorar os níveis de serviço, a própria empresa acaba ficando a mercê das decisões em torno da TI. Em conclusão: a proteção dos dados de toda computação em nuvem, depende dos dois lados clientes e administradores. A confiança é primordial,porque muitas pessoas, incluindo especialistas em segurança de TI, não tem confiança que a nuvem garante segurança e privacidade (ICLOUD, 2020).
4. APLICAÇÕES DA LGPD 
O objetivo principal da "Lei Geral de Proteção de Dados Pessoais" é regulamentar a coleta, o processamento e a utilização de dados pessoais. Supõe-se que as organizações (sejam públicas, privadas, corporativas, governamentais ou instituições de pesquisa) precisam de dados para desempenhar suas funções, mas também devem estar cientes da necessidade e do processo de uso dessas informações. A caracterização de dados pessoais nesta lei é vasto: a começar pelos dados (nome, endereço, CPF) de uma pessoa ou até mesmo dados que pode identificar sua identidade: como sua localização geográfica, endereço IP do celular, hábitos de consumo, etc. Uma das principais concepções norteadoras da lei é que esses dados devem ser recolhidos com a concessão de seu possuinte, processados ​​e utilizados pela organização (MARQUES, 2019). Por que você precisa entender a especificação? LGPD é o principal texto jurídico sobre proteção de dados pessoais no Brasil. E, como dissemos, o conceito de dados pessoais abrangidos pela lei é muito amplo. Portanto, qualquer empresa que use dados pessoais para realizar negócios é permitida por lei. O prazo para adaptação ao LGPD é 29 de dezembro de 2020. Se certas regras forem violadas, várias sanções podem ser aplicadas. As penalidades podem variar entre advertências, bloqueio de dados e imposição de multas por violações, que podem chegar a 50 milhões de reais (Palhares, 2019).
4.1.	Segurança, prevenção e adequação
THEHACK (2020), Já começou! Cyrela é a primeira empresa a ser penalizada pela LGPD “[...] A Agência Nacional de Proteção de Dados (ANPD) ainda não existe, e, mesmo se ela existisse, estaria proibida de penalizar empresas descumpridoras da Lei Geral de Proteção de Dados (LGPD) até o fim de agosto. Porém, isso não tira a liberdade dos advogados de empregarem a norma durante o julgamento de casos para clientes privados. E foi exatamente isso que acaba de acontecer na cidade de São Paulo (SP). A Cyrela, uma das maiores empresas do ramo imobiliário do Brasil, acaba de se tornar a primeira companhia a ser penalizada sob os termos da LGPD. A companhia foi acusada de compartilhar indevidamente dados pessoais e de contato de seus clientes — quem comprava um imóvel da construtora era importunado por ligações de parceiros oferecendo mobília planejada e afins.
Por conta da decisão da juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo, a corporação será obrigada a pagar uma multa indenizatória de R$ 10 mil — bem leve, devemos observar —, com um adicional de R$ 300 por cada contato que venha novamente a ser compartilhado no futuro.
“Resta devidamente comprovado que o autor foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário”, explica Tonia, adicionando ainda que o cliente “receberá o contato de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliário planejado pelo fato de ter adquirido imóvel junto à requerida”.
A Cyrela tentou recorrer, mas, em uma troca de mensagens informal entre um funcionário da construtora e o cliente reclamante, o representante da companhia confessa: “Nós trabalhamos com diversas parcerias para oferecermos nossa consultaria em questão a quitação de empreendimentos de algumas construtoras. Não sei ao certo quem passou o seu contato”.
“O contrato firmado entre as partes prescreveu apenas a possibilidade de inclusão de dados do requerente para fins de inserção em banco de dados (‘Cadastro Positivo’), sem que tenha sido efetivamente informado acerca da utilização dos dados para outros fins que não os relativos à relação jurídica firmada entre as partes”, complementa a juíza. “Entretanto, consoante prova documental acima indicada, houve a utilização para finalidade diversa e sem que o autor tivesse informação adequada (art. 6º, II, LGPD)”, finaliza [...]”
O que diz a lei
Prevenção e segurança são palavras de ordem para o tratamento de dados regulamentado pela LGPD. Nesse ponto, o artigo 6º, diz o seguinte:
Artigo 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; 
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Como se proteger 
Do ponto de vista da proteção dos recursos da AWS contra acessos não autorizados, é necessário o uso do IAM - Identity & Access Management. Nesse ponto, as principais dicas são: 
Evite usar a conta root. A conta "root" permite acesso ilimitado aos seus recursos, incluindo dados pessoais de administradores e informações de faturamento. Para executar tarefas que requerem políticas de acesso de administrador, crie usuários com permissões e atribua a eles as políticas necessárias;
Estabeleça uma boa política de senha. Para aumentar a segurança da senha, além do comprimento mínimo da senha, você deve exigir o uso de símbolos, números, letras minúsculas e maiúsculas. Para obter mais informações sobre as práticas recomendadas de política de senha, consulte a documentação de Permissões.
Use ferramentas de segurança adicionais. A AWS oferece várias opções para estender a proteção de recursos, como autenticação multifator (MFA) e problemas de segurança de recuperação de acesso. 
4.2.	Sigilo dos dados pessoais
Uol (2020), MP move primeira ação com base na LGPD desde que a lei passou a vigorar “[...] Um site que vendia informações pessoais como nomes, e mails, endereços e telefones de profissionais de todo o Brasil foi alvo da primeira ação civil pública ajuizada no país com base na Lei Geral de Proteção de Dados Pessoais (LGPD) desde que a nova legislação entrou em vigor na última sexta-feira (18). 
A ação foi movida pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do Ministério Público do Distrito Federal e Territórios (MPDFT), na segunda-feira (21). 
Um juiz da 5ª Vara Cível do Tribunal de Justiça do Distrito Federal e Territórios, no entanto, extinguiu a ação nesta terça-feira (22) por ausência de interesse processual. Isso porque o site que vendia os dados já estava em manutenção quando foi acessado pela Justiça. 
Mesmo assim, a ação movida pelo MPDFT é um marco, por ser a pioneira no país a se basear na LGPD. A ação, um pedido de tutela, é contra a empresa Infortexto Ltda., com sede em Belo Horizonte, com o objetivo de proteger as informações das pessoas que tiveram os dados vazados e comercializados de forma indevida pelo site. 
Segundo o MPDFT, a empresa vendia dados segmentados por profissões como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros. Os pacotes com as informações pessoais eram vendidos por preços que variavam de R$ 42 a R$ 212,90. Somente em São Paulo, 500 mil pessoas nascidas no município foram expostas indevidamente. 
De acordo com a ação, a Infortexto divulgava esses dados de maneira irregular e de modo que poderia gerar prejuízo aos titulares. Além disso, o direito à intimidade, à privacidade e à imagem, garantidos pela Constituição Federal, foi violado.
Para a advogada Denise Tavares, especialista em direito digital e membro da International Association of Privacy Professionals (IAPP), a empresa estaria desrespeitando diversos requisitos da LGPD, como a transparência e a finalidade do uso dos dados pessoais. 
Além disso, diz, o tratamento pode estar ocorrendo "sem a devida legitimação para o seu uso e sem garantias de medidas de segurança adequadas para proteger os dados pessoais,dentre outras violações", afirmou.
Segundo a advogada, o principal pedido do MPDFT foi o de eliminar do site todos os dados pessoais tratados de forma irregular "A ação proposta tem um formato preparatório de uma futura ação civil pública por reparação de danos. O interesse é verificar a existência de lesão ou ameaça de lesão a um interesse coletivo", disse. 
A LGPD começou a vigorar no último dia 18, mas as punições em caso de desrespeito à lei não estão valendo ainda é o órgão responsável por fiscalizar as regras —a Autoridade Nacional de Proteção de Dados— não foi plenamente estabelecido.
Como forma de atender aos pedidos das empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Mesmo assim, tanto o Ministério Público quanto os órgãos de defesa do consumidor já podem aplicar a lei [...]”
O que diz a lei?
A confidencialidade dos dados sensíveis é tratada mais especificamente no artigo 46 da lei, que dispõe o seguinte:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Como se proteger
Além das práticas mencionadas no tópico anterior, existem outras atitudes importantes que podem ajudar sua organização a manter a confidencialidade dos dados pessoais armazenados na nuvem. 
· Nunca compartilhe ou permita que terceiros compartilhem credenciais de acesso. Se necessário, crie um novo usuário IAM. 
· Verifique os recursos, como buckets S3, bancos de dados RDS, volumes EBS, grupos de segurança, etc., e atribua políticas de restrição de acesso para evitar a exposição de dados confidenciais armazenados pelo aplicativo;
· Habilite a criptografia de recursos, como: S3, EBS, biblioteca RDS, fila SNS, etc.
· Consentimento / Correção, o formulário de consentimento foi registrado para cada dado coletado de clientes e fornecedores. Crucialmente, o documento deve ser claro sobre quais dados serão armazenados e quais dados serão usados. Este documento pode ser necessário para provar que sua empresa está autorizada a manter e usar esses dados. É importante lembrar que o uso de dados em qualquer situação sem consentimento prévio pode resultar em sanções ao seu negócio.
4.3.	Boas práticas de governança
CANALTECH, (2019) Momento da LGPD no país pede ação imediata “[...] Com a Lei Geral de Proteção de Dados (LGPD) batendo na porta das empresas brasileiras, ainda são muitas as dúvidas a respeito da nova regulamentação. Porém, a pouco mais de 260 dias da data prevista para a lei passar a valer, o foco deve estar voltado para traçar estratégias e começar a agir, imediatamente, ao invés de tentar entender as inúmeras lacunas da nova regulamentação. É o que aconselha o advogado da área de proteção de dados, tecnologia e inovação, Fabrício da Mota Alves. O papel da tecnologia — em especial o business analytics e a governança de dados — também foi tema da discussão.
O especialista, que participou ativamente no processo legislativo que levou à edição da regulamentação no Brasil, fala sobre os 10 princípios — como por exemplo finalidade, segurança, transparência, livre acesso — que juntamente com a boa fé norteiam a Lei, além de comentar sobre as mudanças de paradigmas, bem como as preocupações que a LGPD traz para quem lida com informações de pessoas físicas. De acordo com Dr. Mota Alves, são inúmeros os motivos que apontam que muitas empresas brasileiras ainda não estão prontas para a LGPD. Infelizmente, a maioria ainda não tem clara a percepção de que os dados têm um dono e quem os usa deve algum tipo de satisfação.
Até o momento, já foram abertos mais de 30 inquéritos civis públicos no Ministério Público sobre proteção de dados, órgãos como o PROCON e associações de defesa do consumidor, por exemplo, já estão atuando em alguns destes casos. “As empresas ainda não absorveram a ideia de que o titular dos dados é o cidadão. Podemos ser proprietários da inteligência por trás dos dados e das soluções que tratam essa informação, mas não do dado em si. É preciso mudar esse paradigma e rever os métodos que vêm sendo utilizados, tendo claro que o dado pessoal afeta um direito fundamental que é um direito à privacidade e tudo o que fizermos com os dados pode afetar positiva ou negativamente a vida desse cidadão. A LGPD é uma lei atrevida, ousada e complexa, mas não é proibitiva. Ela impõe a necessidade de rever e zelar pelos dados”, diz o especialista.
O advogado ressalta ainda que “as empresas precisam enfrentar imediatamente esse processo, o que não significa necessariamente abandonar todos os tipos de procedimentos e serviços que esta sendo utilizados. Mas algumas atitudes sim, devem ser imediatamente revistas, pois são uma verdadeira bomba relógio ou matriz de risco. Como por exemplo, evitar pedir informações mais do que necessário: em um evento, não é necessária uma assinatura em lista de presença; ou em alguns casos tem dados que não são extremamente úteis no momento do cadastro”.
Anderson Santos, especialista da MicroStrategy, salienta que o custo médio por empresa no Brasil necessário para sanar os problemas relacionados ao vazamento de informações é de mais de 1,2 milhão de dólares, valor não somente associado às altas multas, acordos e custos judiciais, mas também aos prejuízos à imagem e reputação da empresa.
“Várias empresas de diferentes segmentos, globalmente, já passaram por esse problema de terem informações que estão sob o seu domínio vazadas, seja por meio de um ataque hacker ou mesmo por uma falha interna. Com isso, fica cada vez mais evidente a necessidade de proteção dos dados. E a tecnologia está aí para isso; para controlar tudo o que acontece, fazer um gerenciamento completo do ciclo de vida do dado, das políticas de segurança e ainda trazer recursos completos de análise”, ressalta Anderson.
O Business Analytics não é o principal componente e nem responde a todos os desafios da LGPD, mas é parte fundamental nesse processo. Ela atua como interface e também, na maior parte das vezes, será a tecnologia provedora de informações para os usuários nas empresas. Além do que, um bom conhecimento do dado, a capacidade de saber o que acontece com ele, seu percurso, e ter estrito controle sobre quem está autorizado a consumir este dado/ informação — características inerentes à tecnologia de Business Analytics — são cruciais para uma boa implementação de uma estratégia de LGPD [...]”
O que diz a lei?
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Como se proteger?
Para ajudá-lo com sua difícil tarefa de gerenciamento de risco de nuvem, a AWS oferece alguns serviços gerenciados muito úteis. Usá-los em sua infraestrutura o ajudará a identificar a superexposição de recursos e outras ameaças à segurança de seus recursos:
· Amazon CloudTrail: responsável por monitorar quaisquer chamadas deAPI feitas em sua conta, rastreando e identificando ações realizadas em seu ambiente;
· Amazon CloudWatch: produto de monitoramento de ativos da AWS. Graças a ele, é possível coletar e rastrear dados como logs, eventos e métricas de vários recursos e aplicativos dentro da AWS; Amazon Você tem: que permite detectar, classificar e proteger automaticamente dados confidenciais na AWS;
· Amazon Guard Duty: que usa ferramentas de aprendizado de máquina para identificar comportamentos estranhos em sua nuvem, sejam eles o resultado de falhas operacionais ou atividades maliciosas;
4.4. Plano B
Faça um plano para prevenir acidentes. O backup é uma forma de garantir que os arquivos da empresa existam em vários locais e, portanto, salvá-los em caso de ataques cibernéticos. Se por algum motivo houver vazamento de dados, é imprescindível que sua empresa seja transparente e informe seus clientes e fornecedores de forma a mitigar o impacto da situação e restaurar sua credibilidade no mercado (INFORCHANNEL, 2020).
5. Metodologia
Com base no método bibliográfico, foi realizado um panorama teórico, partindo dos conceitos básicos da computação em nuvem, definidos pelos principais elementos que a compõem, abordando a LGPD e suas aplicações. A proposta teórica de resolução do problema é considerada na fase de aplicações da LGPD, explicando o cumprimento das técnicas de cumprimento da LGPD pelas empresas, quem pode ser influenciado é como prevenir-se.
6. Resultados e discussões
Este trabalho descreve os motivos da cloud computing ser utilizada por muitas empresas e como se tornou atrativa, ágil e escalável para gestão de TI, reduzindo custo para manter uma infraestrutura de rede. 
A importância do sancionamento LGPD para que as pessoas e empresas tenham direito à privacidade e proteção de seus dados pessoais, todavia existem punições e multas para as empresas que violam esta lei. 
Então foi realizado uma pesquisa bibliográfica, ressaltando as vantagens na escolha do tipo de serviço em nuvem para pequenas e grande empresas, o funcionamento de um aplicação dentro de sistema da cloud computing, viabilizando a aplicação da LGPD. 
Os principais benefícios do uso de computação em nuvem, diminuir o custo para aquisição de mais recursos de infraestrutura, disponibilidade e flexibilidade de recursos de hardware e software, também facilitar o acesso para os usuários. Além dessas vantagem à outras, como escolha do tipo de serviço, SaaS ou software baseado em web, permite que os usuários acessem via web aos recursos do serviço, PaaS e um sistema que oferece hospedagem de hardware e software para testar a sua aplicação em nuvem, IaaS e uma conjunto de serviços SaaS e PaaS onde oferece recursos de servidores, armazenamento e outros relacionado a rede de computadores.
A implementação e escolha desses recursos irá depender da demanda da empresa ou de terceiros, isso influenciará na escolha do tipo de nuvem que pode ser pública, privada ou híbrida, sempre visualizando segurança e a privacidade do dados do usuário. Caso não for assegurado a privacidade, e esses dados seja vazado, a empresa que presta esse serviço em nuvem será penalizada. Para evitar esse tipo de problema as empresas adotam boa prática de segurança e governança. 
Com a LGPD em vigor, terá um aumento mais significativo da contratação de serviço em nuvem, com isso a responsabilidade de disponibilidade e segurança dos dados será da terceirizada, e as empresas terão mais motivo para investir em contratação dos serviços em nuvem.
7. Considerações Finais
O presente trabalho apresentou, de forma sucinta, os esforços direcionados para a adequação das cloud computing em relação a LGPD. Cabe destacar que todos os objetivos do estudo foram atingidos, visto que, o estudo sobre cloud computing foi realizado e as aplicações com base na LGPD foi adequado visto a legislação da LEI. Além disso, a adequação da computação em nuvem mostra que existem outros desafios que precisam ser enfrentados para atender toda a comunidade que passará a utilizá-la e àqueles que já utilizam a tecnologia, principalmente os que possuem alguma necessidade específica. Visto que, seu uso a de subir consideravelmente nos próximos anos é o uso da LGPD será obrigatório, evidenciando uma tendência de segurança com os dados pessoais na computação em nuvem.
Referências
PLANALTO. Lei Geral de Proteção de Dados Pessoais (LGPD). planalto. [S.I], 2018. Disponivel em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso: set. 2020
SOUSA, MOREIRA e MACHADO, Flavio, Leonardo e Javam. Computação em Nuvem: Conceito, Aplicações e desafios. ERCEMAPI, [S.I.], 2009. Disponivel em: https://www.researchgate.net/profil
e/Javam_Machado/publication/237644729_Computacao_em_Nuvem_Conceitos_Tecnologias_Aplicacoes_e_Desafios/links/56044f4308aea25fce3121f3.pdf. Acesso em: 5 set. 2020.
VERAS, Manuel. Cloud Computing: Nova Arquitetura da TI. Rio de Janeiro, Brasport, 2012. Disponível em: https://books.google.com.br/books?hl=pt-BR&lr=&id=yiggoX2aoC8C&oi=fnd&pg=PA1
&dq=Cloud+computing+p%C3%BAblica&ots=x4ZoWdcIWK&sig=-juXn_BWsFJMsF04h_h1REK5QKc#v=onepage&q=Cloud%20computing%20p%C3%BAblica&f=false. Acesso em: 5 set. 2020.
RUSCHELl, ZANOTTO e MOTA, Henrique, Mariana e Wélton. Computação em Nuvem. Curitiba, Abril de 2010. Disponível em: https://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Welton%20Co
sta%20da%20Mota%20-%20Artigo.pdf. Acesso em: 5 set. 2020.
RUSSO, Bruno. Nuvem pública, privada ou híbrida? Entenda as diferenças. Computerworld. [S.I.], 2017. Disponível em: https://computerworld.com.br/2017/06/14/nuvem-publica-privada-ou-hibrid
a-entenda-diferencas/. Acesso em: 7 de set. 2020.
INFORCHANNEL. LGPD: 5 dicas para organizar seu banco de dados em nuvem AWS e se adequar à Lei. Infor Channel, [S.I.], 2020.Disponível em: https://inforchannel.com.br/lgpd-5-dicas-pa
ra-organizar-seu-banco-de-dados-em-nuvem-aws-e-se-adequar-a-lei/. Acesso em: agosto de 2020
MARQUES, Carolina. LGPD – Sua nuvem está preparada?. Cleancloud. [S.I.], 2019. Disponível em: https://cleancloud.io/aws-lgpd/. Acesso em: set. 2020
ICLOUD. Icloud, 2020. O que é a segurança em Cloud Computing?. [S.I.]. Disponível em: https://www.icloud.com.br/3499/o-que-e-a-seguranca-em-cloud-computing. Acesso em: set 2020.
TAURION, Cezar. Cloud Computing: computação em nuvem: transformando o mundo da tecnologia da informação. Brasport, Rio de Janeiro, 2009. Disponível em: https://books.google.com.
br/books?hl=pt-BR&lr=&id=mvir2X-A2mcC&oi=fnd&pg=PA1&dq=computa%C3%A7%C3%A3o+em+nuvem&ots=CbEj5yTRZt&sig=7aqqKJ22lljnDRc2kHFZsyPZ4nk&redir_esc=y#v=onepage&q=computa%C3%A7%C3%A3o%20em%20nuvem&f=false. Acesso em: 2 de agosto de 2020.
CASTRO e SOUSA, Rita e Verônica. Segurança em Cloud Computing: Governança e Gerenciamento de Riscos de Segurança. cic.unb. [S.I.]. Disṕonível em: https://cic.unb.br/~alchieri/d
isciplinas/posgraduacao/gi/g5/seguranca.pdf. Acesso em: 20 de agosto de 2020.
MAGALHÃES, Juliana. Gerenciamento de Dados na Nuvem. cic.ufpe. [S.I.]. Disponível em: https://www.cin.ufpe.br/~if696/aulas/Gerenciamento_de_Dados_na_Nuvem_Juliane.pdf. Acesso em: 15 de agosto de 2020.
GUERRA, VELOSO e MASSENSINI, Fernando, Marcelo e Rogério. Cloud computing: Questões Críticas para a Implementação em Organizações Públicas. Brasília/DF, 4 de junho de 2012. Disponível em: http://consad.org.br/wp-content/uploads/2013/05/139-CLOUD-COMPUTING-QUEST
%C3%95ES-CR%C3%8DTICAS-PARA-A-IMPLEMENTA%C3%87%C3%83O-EM-ORGANIZA%C3%87%C3%95ES-P%C3%9ABLICAS.pdf. Acesso em: 05 de set. 2020.
CIURANA, Eugene. Developing with Google App Engine. Apress. Berkely, EUA, 2019. Disponível em: https://books.google.cg/books?id=jUXh-Hl36oQC&pg=PA1&source=gbs_toc_r&cad=3#v=onepag
e&q&f=false. Acesso em: 15 de agosto 2020.
SENADO, Agência Senado. Lei Geral de Proteção de Dados entra em vigor. 18 de set. 2020. Disponível em: https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-da
dos-entra-em-vigor. Acesso em: 21 de set. 2020.
MAGRANI, Eduardo. A internet das coisas.FGV Editora, Rio de Janeiro, 2018. Disponível em: https://bibliotecadigital.fgv.br/dspace/bitstream/handle/10438/23898/A%20internet%20das%20coisas.pdf. Acesso em: 7 de julho 2020.
NIST. The NIST Definition of Cloud Computing. Version 15, 10-7-2009, National Institute of Standards and Technology, Information Technology Laboratory – Gaithersburg, Maryland – USA. Disponível em: http://www.nist.org. Acesso em: agosto 2020.
NIST. Programa de computação em nuvem NIST - NCCP. nist.gov. [S.I.]. novembro 2010 at. julho 2019. Disponível em: https://www.nist.gov/programs-projects/nist-cloud-computing-program-nccp. Acesso em: julho de 2020.
PALHARES, Cristiano. O que muda com a Lei Geral de Proteção de Dados (LGPD). Interop. [S.I], 27 de set. 2019. Disponível em: https://www.interop.com.br/blog/lgpd/. Acesso em: julho 2020.
ISACA, Emerging Technology – Cloud Computing: Business Benefits with Security, Governance and Assurance Perspectives. – ISACA, Illinois, USA – Oct, 2009. Disponível em: http://www.isaca.org . Acesso em: agosto 2020.
[Marino s, 2009] MARINOS, A , Briscoe , G. Community Cloud Computing. Lecture Notes in Computer Science. Springer. 2009
VARELLA, Thiago. MP move primeira ação com base na LGPD desde que a lei passou a vigorar. Uol. [S.I.], 23 de set. 2020. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/09/23/m
p-move-primeira-acao-com-base-na-lgpd-desde-que-a-lei-passou-a-vigorar.htm. Acesso em: 24 de set. 2020.
CANALTECH. Momento da LGPD no país pede ação imediata. Canaltech. [S.I.], 02 de dez. 2019. Disponível em: https://canaltech.com.br/governo/momento-da-lgpd-no-pais-pede-acao-imediata-1568
67/. Acesso em: junho 2020.