Um dia desses estava almoçando com um amigo quando surgiu um tema interessante: cada provedor de cloud oferece termos e condições (T&C) de prestação de serviços diferentes, não é mesmo? O que devemos atentar quando analisando estes T&C?
Como eu e meu amigo não somos formados em direito, a conversa ficou meio superficial e recomendamos fortemente “não faça isso em casa”, rssrsrs, ou seja consulte seu setor juridico antes de assinar contratos de serviços de computação em nuvem. Mas, após a conversa comecei a pesquisar o assunto em mais detalhes e obtive alguns dados que gostaria de compartilhar aqui com vocês.
Olhei alguns T&C de diversos provedores e observei que alguns são fortemente focalizados em prestar serviços a usuários finais e pequenas empresas e geralmente estes contratos são meio leoninos, ou sejam, atendem mais aos interesses dos provedores que aos dos usuários. Quanto a serviços de nuvem ofertados à grandes empresas ou órgãos públicos, claramente que os setores jurídicos destas empresas não aceitam tais condições e impõem renegociação de diversas cláusulas. Devido a importância dos contratos com estes clientes, os provedores tendem a aceitá-las, embora geralmente não as divulguem publicamente. Mas volta e meia nos deparamos com alguns disponibilizados na Web. Um interessante é o assinado entre a cidade de Los Angeles e o Google, cujo conteúdo pode ser visto na sua íntegra em http://www.scribd.com/doc/32676277/City-of-Los-Angeles-and-CSC-Google-Contract. Vale a pena lê-lo como referência.
Um ponto que deve ser considerado quando analisamos os T&C é o tipo de serviço em nuvem que está sendo contratado. Um IaaS tem características diferentes de um SaaS. Para recordar os vários tipos de serviços de nuvem recomendo a leitura do paper publicado pelo Open Cloud Manifesto em http://opencloudmanifesto.org/Cloud_computing_use_cases_whitepaper-4_0.pdf.
Além disso, existem serviços free e serviços pagos, e é claro que os T&C serão diferentes. Por exemplo, um serviço gratuito não pode garantir as mesmas condições de um serviço pago. A conta para o provedor simplesmente não fecharia.
Mas, como contratar serviços na nuvem tem um forte viés tecnológico é importante que o setor juridico esteja assessorado pela área de TI. Alguns aspectos devem ser debatidos quando analisando os T&C oferecidos pelos provedores:
a) Nivel de serviços ou SLA: que SLAs são oferecidos pelos provedores e se estão adequados às necessidades da empresa. De maneira geral SLAs são especificados apenas nos serviços pagos. Recomendo que seja analisadas as cláusulas de indenização e de reembolso de crédito como compensação pela indisponibilidade da nuvem.
b) Política de uso: quais as práticas permitidas pelo provedor para uso de sua nuvem.
c) Políticas de privacidade: que garantias o provedor oferece em termos de privacidade dos dados armazenados em sua nuvem.
d) Especificações contratuais. Os serviços gratuitos muitas vezes impõem condições para que os dados dos usuários possam ser reutilizados pelo provedor para propósitos como, por exemplo, advertising. Aliás, alguém realmente lê as condições contratuais dos serviços em nuvem gratuitos ou simplesmente clicam no box “I Agree”? Já para serviços pagos é importante checar as condições de término dos contratos e se existem garantias que os dados serão eliminados fisicamente dos servidores do provedor ao fim do contrato. Além disso, quais são as condições contratuais exigidas pelo provedor para devolver estes dados? Um dos T&C diz claramente “your post termination retrieval of data stored on the services will be conditioned on your payment of service data storage charges for the period following termination, payment in full of any other amounts due us, and your compliance with terms and conditions we may establish with respect to such data retrieval”.
e) Integridade dos dados. Muitos provedores dizem explicitamente que farão “best efforts” para preservar tais dados, mas geralmente explicitam que a responsabilidade é do contratante e que ele, contratante, é que deve ser o responsável pelas operações de backup.
Bem, analisando diversos T&C me deparei com clásulas de jurisdição e arbitração, que obviamente são do campo do direito e que nem me atrevo a opinar. Novamente, enfatizo que o jurídico analise detalhadamente estas cláusulas.
Também é extremamente importante que questões como condições de “data disclosure” e localização de dados fora das fronteiras do país sejam consideradas nas questões contratuais. Existe muito debate sobre o Patriot Act dos EUA, mas muitos outros países europeus também demandam acesso a dados por parte de órgãos de seguraça em caso de suspeita de terrorismo. A diretiva européia 95/46/EC (http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf ) limita claramente os tipos de dados que podem ser transferidos para fora do teritório europeu.
Outro ponto que deve ser analisado juridicamente é a amplitude do monitoramento das atividades do cliente pelos provedores de nuvens. Muitas vezes por razões de gestão, análise de desempenho e segurança, a atividade dos usuários dos serviços na nuvem é monitorada pelos provedores. A questão é que nivel de monitoração é efetuada e que tipo de acesso aos dados esta monitoração demanda.
A conclusão? Cloud computing chegou para ficar. Não temos como evitar ou mesmo retardar seu uso, uma vez que os benefícios são palpáveis. Entretanto, é recomendado que a sua adoção seja cercada de cuidados, pirncipalmente quanto às questões legais, uma vez que estamos entrando em campos um tanto desconhecidos, como os que se relacionam com soberania de dados, jurisdições internacionais e assim por diante. Recomendo fortemente para as iniciativas de cloud que as áreas de TI sejam assessoradas de perto pelo jurídico.
Nas Nuvens 