Nas últimas décadas, o aumento exponencial no volume de dados impulsionou a ampla adoção dos data centers por diversos setores, tornando-os essenciais para o armazenamento, processamento e distribuição de grandes quantidades de informações, consolidando sua posição como a espinha dorsal da nova economia digital. Em resumo, são instalações responsáveis por hospedar servidores, roteadores, firewalls, switches e sistemas de armazenamento, onde os dados são armazenados e processados. Além da infraestrutura de computação, de armazenamento e de rede, os data centers contam com estrutura de suporte, incluindo subsistemas de energia, geradores reservas e equipamentos de ventilação e arrefecimento, com o objetivo de manter a temperatura dos equipamentos dentro dos parâmetros ideais, prevenindo assim o superaquecimento.
Embora exista uma estrutura geral comum aos data centers, suas operações podem variar significativamente, cada uma sujeita a diferentes regras de responsabilização. Em primeiro lugar, tem o modelo tradicional, conhecido como on- premise, no qual toda a infraestrutura do data center é mantida dentro da própria empresa, sendo de uso exclusivo. Isso garante um maior controle sobre as operações e processos relacionados à segurança da informação.
Em segundo lugar, destacam-se os data centers hyperscale, construídos e gerenciados por grandes empresas como Google, Apple e Microsoft para suportar suas próprias operações. São caracterizados por uma enorme capacidade de armazenamento e poder de processamento, além de uma infraestrutura de ponta e equipamentos reforçados.
Em terceiro lugar, está o modelo de serviço colocation, cuja gestão é descentralizada: as empresas contratantes simplesmente alugam o espaço físico para abrigar sua infraestrutura de hardware e software em instalações gerenciadas por provedores especializados. Nesse caso, os clientes compartilham o espaço físico, enquanto o provedor é responsável pela manutenção, segurança física, resfriamento e conectividade das instalações. No entanto, os clientes são os responsáveis pelo conteúdo armazenado e proteção contra ameaças virtuais, exigindo a implementação de diversas tecnologias, como criptografia de dados e firewalls.
Privacidade
O papel fundamental dos data centers na infraestrutura da tecnologia da informação, combinado com sua vasta escala e a natureza crítica das informações e serviços armazenados, suscita preocupações especialmente quanto à privacidade e segurança dos dados. É essencial destacar que muitos desses dados compreendem informações pessoais, o que torna imperativo o cumprimento dos diferentes padrões e regras estabelecidos para a salvaguarda do direito à proteção de dados nas variadas jurisdições, sob pena de responsabilização e multas.
Além das obrigações específicas relacionadas à proteção dos dados, é necessário lidar com questões como extraterritorialidade, transferência internacional de dados e de responsabilidade legal.
No contexto da União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) prevê obrigações e padrões específicos para os dados de residentes do bloco, sendo aplicável a todas as transações realizadas nos Estados- Membros. Esse amplo regulamento define, em seu artigo 3º, que sua aplicação não se limita a organizações localizadas no bloco europeu, abrangendo, igualmente, todas aquelas situadas fora da UE que processem dados de titulares que se encontrem dentro do território. Ademais, o artigo 44 do Regulamento prevê que toda transferência de dados pessoais para país terceiro ou organização internacional deve assegurar que o nível de proteção das pessoas físicas não seja comprometido.
Isso pode ocorrer tanto por meio da chamada decisão de adequação (art. 45 do GDPR), na qual a Comissão decide quais países e territórios garantem um nível de proteção adequado, quanto por meio de uma verificação pelos responsáveis pelo tratamento ou pelos subcontratantes para garantir a existência das garantias adequadas. Nos termos do artigo 46 GDPR, essa verificação pode ocorrer por meio das cláusulas- tipo de proteção de dados (standard contractual clauses – SCC), que podem ser incluídas nos casos de transferência internacional entre controladores e de controladores para operadores.
Em relação a esse tema, a Comissão Europeia editou, em 2021, a Decisão de Execução 2021/914, que inclui, como anexo, cláusulas contratuais-tipo com uma abordagem modular para atender a diferentes cenários de transferência. O objetivo dessas cláusulas é proporcionar garantias adequadas em relação à proteção dos dados pessoais. As previsões contratuais podem ser complementadas por outras cláusulas ou garantias adicionais estabelecidas pelas partes, desde que não entrem em conflito, direta ou indireta, com as cláusulas-padrão sugeridas pela Comissão, conforme indicado nos considerandos do Regulamento.
Quanto às regras de responsabilização, é importante analisar, em primeiro lugar, o modelo de funcionamento do data center em questão. Isso se deve ao fato de que a responsabilização depende, conforme estabelecido nos artigos 4(7) e 4(8) do Regulamento, da definição daquele(s) que determina(m) as finalidades e os meios de tratamento dos dados pessoais (controllers) e daquele(s) que trate(m) dos dados pessoais por conta do responsável (processors).
Com exceção dos dados próprios da empresa (folha de pagamento, lista de vendas etc.), nos quais o data center atua como controlador, a definição precisa do papel e das responsabilidades correspondentes do provedor de data center pode ser mais complexa e variável. Isso dependerá do modelo de serviço oferecido e da proximidade em relação aos dados em questão.
Conforme os data centers crescem em escala e complexidade, os desafios relacionados à segurança da infraestrutura, tanto física quanto digital, aumentam proporcionalmente. Para garantir a confidencialidade, a integridade e a disponibilidade das informações, é fundamental que as políticas e práticas de segurança abordem não apenas potenciais incidentes de vazamentos de dados, ameaças internas e uso não autorizado, mas, igualmente, ameaças físicas e desastres naturais, entre outros aspectos.
Segurança
Além das leis gerais sobre privacidade e proteção de dados, que prescrevem princípios e regras mínimas de segurança, existem atualmente padrões específicos para o estabelecimento e o funcionamento de um data center. Um exemplo é o ANSI/TIA-942, da Telecommunications Industry Association, que certifica data centers mundialmente, a partir de requisitos mínimos que abrangem toda a infraestrutura subjacente, incluindo telecomunicações, energia, mecânica, arquitetura, segurança, proteção contra incêndio e monitoramento.
O padrão ANSI/TIA-942 aplica o conceito de Tiers, classificando-os em quatro níveis de acordo com os níveis de redundância e tolerância a falhas: desde o nível 1, o mais básico, que oferece apenas um caminho para energia e resfriamento e poucos componentes redundantes e de backup; até o nível 4, o mais complexo e seguro, construído para ser completamente tolerante a falhas.
Outro exemplo é o EN 50600, desenvolvido pelo CENELEC (Comité Européen de Normalisation Électrotechnique), que se concentra principalmente na segurança física dos data centers.
Esse documento é composto por quatro seções, abordando conceitos gerais na parte 1, aspectos estruturais que incluem questões energéticas, infraestrutura de cabeamento de telecomunicações, sistemas de segurança na parte 2, gestão na parte 3 e aspectos de eficiência na parte 4.
As normas ISO 27001 e ISO 9001 que, respectivamente, regem a gestão da segurança da informação e os requisitos para o sistema de gestão da qualidade, ainda que com aplicabilidade mais abrangente, são importantes standards reconhecidos internacionalmente que devem ser observados na gestão de data centers.
Além disso, a literatura especializada recomenda a atenção para as cinco camadas de segurança dos centros de dados: física; lógica; de rede; de aplicativos e de segurança da informação. Como visto, embora não haja legislação em sentido estrito sobre o tema, existem várias orientações e recomendações setoriais que são plenamente aplicáveis.
Sustentabilidade
Outro aspecto a ser considerado nos data centers são os impactos ambientais resultantes do elevado consumo de energia necessário para alimentar servidores e sistemas de refrigeração em funcionamento intensivo. De acordo com a Agência Internacional de Energia (IEA), estima-se que os data centers são responsáveis por aproximadamente 1.3% da demanda global por eletricidade. O incremento no uso massivo de dados em diversos setores e a tendência de migração para soluções de armazenamento em nuvem sinalizam que o percentual de consumo energético aumentará de maneira exponencial nos próximos anos.
O tema foi objeto do Código de Conduta Europeu para Data Centers (EU DC CoC), que estabelece padrões voluntários para incentivar e orientar operadores e proprietários na redução do consumo de energia sem comprometimento das funcionalidades das instalações. A iniciativa, encabeçada pelo Joint Research Centre (JRC) da Comissão Europeia, teve início em 2008 e já conta com mais de 150 empresas, que acumulam mais de 500 data centers. O texto é revisado anualmente e é acompanhado pelo Quadro de Avaliação, que fornece um panorama orientado por requisitos, servindo como fonte de informação para os participantes do mercado e como ferramenta de avaliação para os auditores que verificam a conformidade dos data centers em relação às melhores práticas.
Ao se tornar um participante, a empresa se compromete a realizar uma medição inicial de energia e uma auditoria específica para identificar as principais oportunidades de economia de energia, além de preparar e enviar um plano de ação. Após aceitação, o plano deve ser implementado de acordo com o cronograma pré-definido. Ademais, no âmbito da União Europeia, foi adotada em 2022 a Diretiva de Relatórios de Sustentabilidade Corporativa (CSRD), que a partir de 2024 exigirá que grandes organizações, incluindo empresas de tecnologia, produzam relatórios contendo indicadores de sustentabilidade, emissões de energia e carbono, o que terá impacto direto sobre as empresas de data centers.
Do outro lado do atlântico, o Título 42 do United States Code, que regulamenta questões de saúde pública, seguridade social, direitos civis, entre outros, previu, no parágrafo 17112, que a partir de 2007, a Agência de Proteção Ambiental (Environmental Protection Agency), juntamente com outras partes interessadas, iniciaria um programa nacional de adesão voluntária para data centers públicos e privados com foco em eficiência energética e redução consciente de consumo. Além disso, em agosto de 2016, por meio do Memorando OMB M- 19-19 do Office of Management and Budget, foi estabelecida a Iniciativa de Otimização do Data Center (DCOI), que exige que as agências desenvolvam e relatem estratégias para, dentre outros, fazer a transição para uma infraestrutura mais eficiente, com economia de custos e ampliação de tecnologias energeticamente eficientes.
No Brasil, as recentes manifestações de que o Governo Federal pretende transformar o país em um hub de data centers global coloca a Anatel diante da tarefa de estabelecer as condições regulatórias necessárias para garantir uma infraestrutura segura, energeticamente eficiente e em conformidade com as regras de proteção dos dados pessoais.
É imprescindível, portanto, que sejam especificados, por meio de uma atuação conjunta com a ANPD e em conformidade com a LGPD, os modelos de responsabilização adequados para cada tipo de funcionamento dos data centers; que sejam estabelecidos padrões mínimos e requisitos de segurança alinhados com as práticas internacionais para o funcionamento desses centros no país; e que sejam emitidas recomendações e estimulados códigos de conduta para incentivar estruturas mais eficientes e sustentáveis, considerando as diretrizes internacionais existentes e as peculiaridades do cenário nacional.
Sobre os autores:
Alexandre Freire é Conselheiro Diretor da ANATEL; presidente do Centro de Altos Estudos em Comunicações Digitais e Inovação Tecnológica da ANATEL – CEADI; Presidente do Comitê de Infraestrutura de Telecomunicações da ANATEL; Visiting Scholar at the Goethe Universität Frankfurt am Main's Faculty of Law; Doutor em Direito pela PUC-SP e Mestre em Direito pela UFPR e; Nomeado pela Presidência da República como membro da Comissão Nacional para os Objetivos de Desenvolvimento Sustentável (ODS) da Agenda 2030 da ONU.
Ricardo Campos é docente nas áreas de Proteção de Dados Regulação de Serviços Digitais e Direito Público na Faculdade de Direito da Goethe Universität Frankfurt am Main; doutor e mestre pela Goethe Universität coordenador da área de Direito Digital da OAB Federal/ESA Nacional diretor do Instituto Legal Grounds; e sócio do Warde Advogados.
As opiniões manifestadas nesse artigo não necessariamente refletem o ponto de cista de TELETIME.
_______________________________
Notas bibliográficas:
1 – MASANET, Eric et al. Recalibrating global data center energy-use estimates, Science, v. 367, 6481, 2020.