Pular para o conteúdo
Compliance MSPA

Servico Em Nuvem

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

“Nuvem” (ou Cloud Computing) é um modelo onde, em vez de comprar e manter servidores físicos e softwares dentro da sua empresa (modelo on-premise), você “aluga” esses recursos de um fornecedor especializado pela internet, geralmente num modelo de assinatura.

Você troca um investimento de capital (comprar hardware) por um custo operacional (pagar uma mensalidade) para aceder a infraestrutura e softwares de ponta.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD não define “Serviço em Nuvem”. Em vez disso, a lei foca na relação que a nuvem estabelece.

Quase sempre, o fornecedor do serviço em nuvem (ex: Microsoft, AWS, Google) atua como Operador dos dados, processando-os sob as ordens da sua empresa, que é a Controladora. A lei exige que esta relação seja formalizada por um contrato (muitas vezes chamado de DPA - Data Processing Addendum) que garanta que o Operador cumpre as Medidas de Segurança adequadas.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

Existem três tipos principais de serviços em nuvem:

  • SaaS (Software como Serviço): Você usa um software pronto.

    • Exemplos: Microsoft 365 (Email, OneDrive), Salesforce (CRM), Google Workspace, ou plataformas de conformidade como o MSPA Compass.

  • PaaS (Plataforma como Serviço): Você aluga as ferramentas para construir as suas próprias aplicações (ex: bancos de dados, servidores web).

    • Exemplos: Microsoft Azure SQL, Google App Engine.

  • IaaS (Infraestrutura como Serviço): Você aluga o “hardware” virtual (servidores, armazenamento, rede).

    • Exemplos: Amazon Web Services (AWS EC2), Microsoft Azure VM.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O erro mais grave é a “terceirização da culpa”. Muitas empresas acreditam que, ao contratar uma gigante como a Microsoft ou a AWS, a responsabilidade pela LGPD é transferida para elas.

Isso está errado. Na nuvem, vigora o “Modelo de Responsabilidade Compartilhada”. O provedor (ex: Microsoft) é responsável pela segurança da nuvem (ex: a segurança física do data center). A sua empresa (Controladora) é responsável pela segurança na nuvem (ex: quem tem acesso, quais dados são armazenados, como as permissões são configuradas).

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A “Nuvem” não é algo etéreo; ela é apenas “o computador de outra pessoa”. E esse computador fica num local físico. Se o seu provedor de nuvem armazena os dados da sua empresa em servidores localizados fora do Brasil (ex: nos EUA ou Europa), você está, automaticamente, a realizar uma Transferência Internacional de Dados. Esta operação exige um Mecanismo de Transferência válido, como Cláusulas-Padrão Contratuais.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Operador

  • Controlador

  • Transferência Internacional de Dados

  • Medidas de Segurança

  • Controladoria Conjunta (raro, mas pode ocorrer em SaaS complexos)