El que cal saber sobre les lleis i regulacions del núvol

Actualment no és tan fàcil mantenir les dades segures i privades. Sovint hi ha una ambigüitat sota la jurisdicció de què pertanyen les dades basades en el núvol i, a més, les lleis i les regulacions difereixen d’un país a un altre. Començar el cap amb tot el que pot ser un malson, és per això que volem facilitar-vos la vida i dirigir l’atenció sobre allò que cal saber sobre les lleis i les regulacions del núvol.


De fet, amb els incompliments recents de la privadesa als EUA (com l’escàndol de Facebook), aquestes preguntes són més importants que mai. Els Estats s’han convertit en un lloc cada cop més aterrador quan es tracta de la privacitat i la seguretat de les dades.

Aviat, per exemple, ja no hi haurà neutralitat neta als EUA. L’NSA sempre està present amb el seu projecte PRISM, i és un pare, la Patriot Act també hi és. A més, hi ha una nova llei sobre el bloc anomenat CLOUD, que permet que la intel·ligència dels Estats Units deixi fora de dades els ciutadans dels Estats Units als servidors estrangers.

Europa és un entorn menys hostil i la privacitat i seguretat de les vostres dades haurien de sobreviure més temps allà. Tanmateix, no està exempta de faltes: els països de la UE ignoraran ocasionalment el seu dret a la privacitat, els espies francesos als seus ciutadans i el Regne Unit van aprovar la Llei de poders investigatius, que és encara més temible que la Llei de patriotes..

Tanmateix, el paisatge no és trist, gràcies a la vigència de GDPR el 25 de maig de 2018 i a la seva promesa de millorar la privacitat i la seguretat.

Rússia és una bèstia molt diferent, amb la seva llei de censura a Internet aprovada el 2012. La llei russa també limita on es poden situar dades sobre els seus ciutadans. No obstant això, el 2016 el Servei Federal Antimonopoli rus va aprovar un reglament que impedeix que els ISP accelerin o bloquegessin cap lloc web tret que ho fes el govern, preservant així la neutralitat de la xarxa.

A Austràlia, la llei de retenció de dades és vigent i vol tenir les metadades del ciutadà. Irònicament, va passar només unes setmanes abans que Austràlia marcés la setmana de la consciència de la privadesa. La llei és una de les més intrusives de les societats occidentals.

Farem una ullada a les particularitats de les lleis i regulacions que es mantenen a tot el món.

Lleis sobre el núvol als Estats Units


© Mike Mozart

Els EUA no tenen una llei global per a la regulació de dades a tot el país. En lloc d’això, ha implementat lleis i regulacions sobre dades específiques del sector que funcionen juntament amb la legislació estatal per tal de mantenir les dades dels ciutadans segurs, com ara l’IPIPA.

La més nova incorporació al paisatge de les lleis i regulacions sobre privadesa de dades als EUA és la Llei de clarificació de l’ús legal de les dades a l’estranger (CLOUD). Es va presentar al febrer de 2018 i el president Donald Trump va signar la legislació el 23 de març. Estableix que:

“Un proveïdor de servei de comunicació electrònica o servei informàtic remot haurà de complir les obligacions d’aquest capítol de conservar, fer còpies de seguretat o divulgar el contingut d’un cable o comunicació electrònica i qualsevol registre o altra informació pertanyent a un client o abonat que estigui en possessió d’aquest proveïdor. , custòdia o control, independentment de si aquesta comunicació, registre o altra informació es troba dins o fora dels Estats Units. “

En definitiva, si és resident als EUA, es poden obtenir les dades si les situes fora dels EUA en un país “amb el qual els Estats Units tenen un acord executiu”. El Congrés ho justifica en una altra secció, afirmant el següent:

“L’accés puntual a les dades electròniques dels proveïdors de serveis de comunicacions és un component essencial dels esforços del govern per protegir la seguretat pública i combatre el crim greu, inclòs el terrorisme.”

L’acte també donarà als governs estrangers (aquells que tinguin un acord executiu amb els EUA) el dret a sol·licitar informació sobre els seus propis ciutadans a les empreses tecnològiques dels Estats Units. Les empreses de tecnologia en qüestió poden cancel·lar aquesta sol·licitud en un termini de 14 dies si creuen que:

“El client o subscriptor no és una persona dels Estats Units i no resideix als Estats Units i que la divulgació requerida crearia un risc important que el proveïdor incomplís les lleis d’un govern estranger qualificat.”

Contrat demòcrata


© Revista Rolling Stone

El senador Ron Wyden (D-OR) va tenir alguna cosa a dir sobre això abans de la aprovació del projecte de llei: “Aquest projecte de llei només conté disposicions sense dents sobre els drets humans que els administradors de Trump poden reunir simplement marcant una casella. És una mala pràctica legislativa que el Congrés, sense un minut de debat del Senat, es faci avançar a través de la Llei CLOUD sobre aquest projecte de llei de despeses obligatòries. “

Ara, CLOUD no seria aquí aquí sense l’ajuda d’una regulació que aporti ratlles vermelles i blaves a la vostra imaginació quan diguessis el seu nom: la Patriot Act. La majoria dels canvis controvertits estan escrits al títol II de l’acte, anomenat “Procediments de vigilància millorats”. Diverses disposicions permeten donar dades sobre la comunicació electrònica a les agències policials.

Els usuaris o propietaris d’un equip “protegit” poden donar permís a les autoritats per interceptar les comunicacions que es realitzen a la màquina. El que fa que un ordinador “protegit” es recull al 18 Codi dels Estats Units § 1030 – Frau i activitat relacionada en relació amb ordinadors i inclou àmpliament qualsevol dispositiu utilitzat per una institució financera dels Estats Units o per a una de fora dels Estats Units que afecti a l’estat o comerç exterior o comunicació.

El títol II també va ampliar les cites que es van emetre a ISPs amb “el nom, l’adreça, els registres de facturació de peatges telefònics locals i de llarga distància, el número de telèfon o un altre número o identitat de subscriptor i la durada del servei d’un abonat”, així com els horaris de sessió i duracions, tipus de serveis utilitzats, adreces IP, mètode de pagament i números de compte bancari i targeta de crèdit.

El títol també permet que els ISP proporcionin registres de clients a les agències de l’alfabet si sospiten que hi ha un perill per a “la vida i les extremitats”. Els ciutadans dels Estats Units han de protegir la seva privadesa del Gran Germà ara més que mai. Us donarem alguns consells sobre com fer-ho justament al final de l’article.

Bastion Europe


© Yanni Koutsomitis

Europa en conjunt no té lleis tan polèmiques com les dels Estats Units, però algunes han aprovat recentment i estan fent capçaleres.

Als Països Baixos, la cambra baixa va aprovar un projecte de llei que permet a la policia piratejar els sospitosos en un cas penal. Es diu Cybercrime III i, en la seva forma original, va donar a la policia el poder de fer ús de vulnerabilitats de programari que els desenvolupadors desconeixen (vulnerabilitats del dia zero). Això va dividir els legisladors i, finalment, es va modificar el projecte de llei per exigir la policia que informés immediatament de les vulnerabilitats als desenvolupadors.

El món francès imita el projecte PRISM amb les seves xarxes de vigilància electrònica expansives, informa Le Monde. Ha trobat que la intel·ligència francesa recopilava quantitats massives de dades i les emmagatzemava als seus servidors. Les dades inclouen registres telefònics (identificadors dels participants, lloc, data, durada i mida del missatge), així com correus electrònics (metadades) i tota l’activitat d’internet que passa per Google, Microsoft, Apple i Yahoo.

La legislació francesa regula estrictament la intercepció de dades, però no està disposada per a l’emmagatzematge de dades per part de les agències d’informació. Un altre argument d’aquesta llei és que “cada sol·licitud de sol·licitud de dades o intercepció està orientada i no es pot assolir de forma massiva, tant quantitativament com temporalment, i aquestes pràctiques no estarien fonamentades legalment”. Assegura la Comissió Nacional d’Informàtica i Llibertats (CNIL). És a dir, la intel·ligència francesa no adquireix dades sobre tots els residents tot el temps.

Privadesa al Regne Unit

Al Regne Unit, la llei que cal vigilar és la Llei de competències investigatives. Permet al govern accedir i emmagatzemar dades de tots els països del país. Aquestes dades inclouen l’historial del navegador, els registres de telèfon i els missatges. El govern va publicar una restricció que justifica les intrusions només en el cas de “delicte greu”. Tanmateix, van definir el mateix “delicte greu” com qualsevol delicte punible amb sis mesos de presó i qualsevol delicte que suposés enviar una comunicació.

Per evitar aquestes regulacions terrorífiques, es va redactar la GDPR i promet ser el gran unificador i igualador de les lleis de privadesa i seguretat de les dades de la UE. S’aplicarà a totes les empreses que processin les dades de les persones que resideixen a la unió, independentment de la ubicació de l’empresa.

Amb la nova regulació, la notificació d’una infracció serà obligatòria en qualsevol estat membre on es pugui produir l’incompliment “un risc per als drets i les llibertats de les persones”. Aquesta notificació s’ha d’enviar en les 72 hores següents a la notificació de l’incompliment. Els subjectes de dades (persones que són subjectes de dades personals) tindran dret a obtenir confirmació per part del responsable de dades (organitzacions o individus) sobre si s’estan processant les seves dades personals, on i amb quina finalitat..

El dret a ser oblidat fa que els subjectes de la informació puguin fer que el responsable del treball esborri les seves dades, cessi la difusió de dades i, possiblement, que tercers deixin de processar les dades.

Un altre concepte sovint oblidat que s’inclou a GDPR és la privadesa per disseny. Demana la inclusió de la protecció de dades des del començament del disseny de sistemes, més que com a addició. Per obtenir més informació sobre com canviarà aquesta nova llei el panorama de dades de la UE, consulteu el nostre article complet sobre GDPR.

Rússia (el teló estany)

Si bé ja no es troba al darrere del teló de ferro, Rússia continua restringint el que hi ha disponible en línia per a la seva gent. La censura és aplicada pel projecte de llei de restricció a Internet. El govern rus afirma que està allà per protegir els ciutadans dels llocs que defensen el consum de drogues, la pornografia infantil o qualsevol cosa que es consideri que té una mala influència. Els criteris són molt subjectius i alguns creuen que és allà per promoure la censura.

El setembre del 2015, la Rèdio Federal núm. 242-FZ va entrar en vigor a Rússia. En essència, requereix que totes les empreses estrangeres hagin d’emmagatzemar dades sobre ciutadans russos en servidors ubicats al país.

El regulador rus, Roskomnadzor, s’assegurarà que tothom compleixi aquesta llei. Si algú presenta una queixa contra una empresa que ha incomplert la Llei núm. 242-FZ, Roskomnadzor la inscriu al seu registre. Al cap de tres dies, si no es proporciona el compliment, l’accés al lloc quedarà bloquejat (avís .pdf). A més, el regulador pot fer comprovacions de compliment no programades sense restriccions.

Tumble de metadades a sota


© Naoki Sato

A Austràlia, la Llei de retenció de dades s’ha aplicat des d’abril de 2017. De forma similar a la situació de França, les empreses de telecomunicacions recullen metadades, però a Austràlia, no s’orienten i es recopilen de manera indiscriminada. Emmagatzemaran les dades almenys durant dos anys i donaran accés a les agències d’intel·ligència i policia.

Això, per descomptat, soscava els principis democràtics sobre els quals es va fundar Austràlia i erosiona els drets de les persones a la privacitat, l’anonimat i la recollida de les seves dades personals.

Pensaments finals

Si bé existeixen amenaces des de dins i des de fora, els governs creen lleis que permeten que persones o agències maliciosos puguin aprofitar els poders que atorguen. Es fa en nom de la seguretat mentre es lleven els vostres drets sobre privadesa.

Els individus estan lluny de poder i hi ha mesures que podeu fer per assegurar-vos que les vostres dades siguin segures i privades: hi ha moltes eines que ajuden a protegir la vostra privadesa, però la millor solució és utilitzar una VPN (llegiu el que és una VPN article si no en coneixeu). També tenim una llista de què creiem que són els millors proveïdors de VPN al voltant. A més, si emmagatzema dades al núvol, assegureu-vos que esteu utilitzant un servei que ofereix xifrat de coneixement zero.

Què en penseu de les lleis i regulacions d’aquest valent nou món? Hi ha alguna llei interessant que hem trobat a faltar? Ho fem saber en els comentaris a continuació. Gràcies per llegir.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map