Céu de brigadeiro: nuvens fofas, brancas, de rápida implementação, flexíveis, escaláveis, ubíquas e baratas. Quem poderia pedir mais? O advento do cloud computing proporcionou aos compradores de suas soluções uma série de benefícios, em grande parte, acompanhados de poucas desvantagens.
Passada a desconfiança inicial, natural em qualquer processo de mudança de paradigma tecnológico – no caso do cloud materializada com mais intensidade em preocupações ligadas à segurança da informação – a adoção das soluções em nuvem vem crescendo em níveis significativos. Não é à toa. As vantagens trazidas pela tecnologia são importantes demais para serem desconsideradas por quem tem a responsabilidade de “fazer os sistemas funcionarem com a máxima eficiência”.
Por exemplo, ao transferir infraestruturas física e lógica para data centers remotos, a TI diminui os riscos e a complexidade associados à adoção de novas soluções, diminui o tempo de implantação e, em geral, se vê livre de algumas tarefas de natureza operacional. Outras vantagens são a acessabilidade da solução via internet e a flexibilidade no volume de contratação; o tal do pay as you go, ou melhor, o pay according to your size.
Sem falar nas vantagens especificamente relativas a preço, tais como a alocação de recursos em opex e não em capex. Possivelmente, a mais significativa delas, verdadeira força motriz do cloud computing, é a possibilidade de divisão das rendas decorrentes de ganhos de escala (típicos de serviços baseados na internet) entre os provedores de solução e os tomadores de serviço. Como se não bastasse, o momento também é favorável para quem quer contratar serviços em nuvem. Como em todo serviço possibilitado pela internet há, de início, um processo de consolidação dos players no mercado. O que se observa hoje no cloud computing é o travamento batalhas sangrentas por market share, o que efetivamente tem impacto positivo sobre os preços.
Como em toda nova tecnologia que se torna o padrão de mercado, passamos da desconfiança para o “must have”. Quem pelo menos não estiver pensando em cloud computing, deixou efetivamente de ser olhado como profissional prudente, para se tornar quase um pária profissional e tecnológico. Natural que seja assim. É do ser humano: “se todo mundo está contratando, a tendência é que serei julgado com mais rigor caso não siga o movimento de mercado, do que se algo der errado (o que não necessariamente é verdade). O raciocínio é ainda mais sedutor nesses tempos bicudos, em que os orçamentos estão sendo olhados com lupa.
Apesar de todo esse conjunto de forças que empurram a TI para a nuvem, o fato é que as organizações devem se precaver contra uma corrida não disciplinada ao cloud computing. A exposição a riscos e prejuízos associados à sua adoção, sem as devidas proteções, em serviços críticos ou na guarda de dados sensíveis, podem impactar de forma significativa aquela favorável relação custo-benefício que levou à contratação da solução em primeiro lugar.
São vários os fatores que devem ser considerados na contratação prudente. A análise adequada é, evidentemente, multidisciplinar e multistakeholder: TI, usuários, financeira, contábil, planejamento, compliance e, não menos importante, jurídica.
Ao ler “jurídico”, pense em prevenção. Pense em contratos, os quais, por uma série de motivos têm sido relegados ao segundo plano, o que expõe o tomador de serviços a riscos desnecessários. A explicação mais plausível para esse fenômeno é que o cloud computing trouxe uma nova configuração de forças na contratação dos serviços. Principalmente nos cloud público e híbrido os players mais importantes e, portanto, mais contratados, têm abrangência global. Como tal, oferecem contratos padrão aos quais os clientes são levados aderir. Resulta disso um processo de assinatura quase às cegas.
Não é o melhor caminho. Em primeiro lugar, porque não leva em conta necessidades ou ocorrências futuras de fácil prognóstico. Em segundo lugar, e mais grave, porque banaliza as demais contratações de serviços, mesmo aquelas em que a organização poderia estar em posição mais favorável para negociar.
Como em todo ambiente nebuloso (o trocadilho é deliberado), o caminho pode se mostrar cheio de surpresas. Os pontos de atenção são inúmeros e não é pretensão desse artigo explicitá-los. A disponibilidade de serviços é um destes. Essa não se limita aos SLAs (e.g. nível de serviços para visitantes simultâneos ou para a resolução de problemas). Há de atentar-se, ainda, às hipóteses de descontinuação unilateral dos serviços pelo provedor (por inúmeras razões, e.g. falta de pagamento) ou em medidas de avaliação da saúde financeira do provedor pelo cliente. Outros exemplos importantes referem-se às responsabilidades em matéria de segurança, disaster recovery e business continuity, propriedade de dados e intelectual, confidencialidade, redundância de serviços e devolução, sem custo, de dados ao fim da relação contratual.
Ainda nesse sentido, vale destacar três dos erros mais comuns e com consequências financeiras diretas: (i) não definir o escopo dos serviços de forma adequada; (ii) não definir as responsabilidades na hipótese de migração dos serviços/dados para outro provedor; e (iii) não definir adequadamente as responsabilidades e obrigação de indenizar, inclusive, na hipótese de quebra de sigilo, seja de dados da empresa, seja de dados de terceiros (o que inclui dados pessoais).
Em conclusão, a contratação de serviços por simples adesão pode ter impactos diretos na implantação dos serviços, em sua disponibilidade (em sentido amplo), nos custos correntes e futuros para manter a solução, em responsabilidades regulatórias e jurídicas, na propriedade de ativos intangíveis próprios e de terceiros e na facilidade de migração dos serviços (o mal contrato, por uma série de motivos, pode deixá-lo “casado” com seu provedor de serviços).
Como se vê, no cloud computing há mais entre o céu e a TI do que preocupações relativas à segurança da informação. Quem não se dispuser a tomar posse de todos os aspectos da negociação contratual, e não apenas os jurídicos, pode ver o céu de brigadeiro das soluções em nuvem se transformar em tempo carregado, sujeito a raios e trovoadas. Certamente a responsabilidade não recairá sobre São Pedro.
Gustavo Artese, líder das práticas de direito digital e propriedade intelectual de VPBG Advogados, com especialização em privacidade, contratos de tecnologia e segurança da informação. Gustavo é mestre em direito pela Universidade de Chicago, professor de direito e tecnologia da Escola Politécnica da USP e colaborador da IAPP – International Association for Privacy Professionals.
