A Legislação de Fluxo de dados transfronteiras
Por: Breno Augusto • 11/11/2017 • Relatório de pesquisa • 8.036 Palavras (33 Páginas) • 252 Visualizações
Legislação de Fluxo de dados transfronteiras
Relação dos grupos da turma de Economia da Informação sobre legislação de fluxo de dados transfronteiras:
Grupo 1 – Vinícius Mota e Luís Guilherme
País | Tipo de Dados | Política de localização de dados |
Argentina | [pic 1] | A Lei de Proteção de Dados da Argentina proíbe a transferência de dados pessoais para países que não possuem um nível adequado de proteção, mas até agora o governo da Argentina não determinou quais países pertencem a esta categoria. No entanto, a Lei estabelece que a proibição não é aplicável quando a pessoa em causa tenha dado consentimento expresso à transferência de dados. Além disso, a Direção Nacional de Proteção de Dados Pessoais da Argentina emitiu a Provisão no. 18/2015, que afirmou que o armazenamento em nuvem é considerado uma transferência internacional de dados, de modo que o aplicativo de software que envia dados no exterior deve cumprir com a Lei de Proteção de Dados. |
Austrália | [pic 2] | Em 2012, a Austrália promulgou a Lei de Registros de Saúde Eletrônica Controlada Pessoalmente, que exige que os registros pessoais de saúde sejam armazenados apenas na Austrália. |
Bélgica |
[pic 3] | As leis da Bélgica exigem que os documentos contábeis e tributários sejam mantidos no escritório, agência, filial ou outras instalações privadas do contribuinte, onde foram mantidas, preparadas ou enviadas. As empresas podem candidatar-se a autoridades fiscais belgas por uma isenção a este requisito. Esses registros contábeis podem ser mantidos em outro local (como no exterior), desde que o acesso imediato aos registros possa ser concedido ou que tais registros possam ser fornecidos em curto prazo. Além disso, o Código das Sociedades da Bélgica exige que as empresas mantenham o registro de acionistas e o registro de títulos na sede social da empresa. Desde 2005, foi possível manter cópias digitais desses registros, desde que estejam acessíveis na sede social da empresa. |
Brasil | [pic 4] | Em setembro de 2013, o Brasil começou a considerar uma política que teria forçado as empresas baseadas na Internet, como o Google e o Facebook, a armazenar dados relativos a brasileiros em centros de dados locais. Ele retirou esta disposição da cópia final do projeto de lei. Além disso, em 2016, as agências governamentais brasileiras, incluindo a Secretaria de Tecnologia da Informação do Ministério do Planejamento, Desenvolvimento e Gestão, incluíram a localização forçada de dados como requisito para contratos públicos envolvendo serviços de computação em nuvem. |
Bulgária | [pic 5] | Em 2012, a Bulgária promulgou uma nova lei - a Lei dos Jogos de Azar - que exigia aos candidatos uma licença de jogo para armazenar todos os dados relacionados às operações na Bulgária localmente. Além disso, o equipamento de comunicação da empresa e o ponto de controle central para TI devem ser na Bulgária, outro país membro da UE ou na Suíça. |
Canadá |
[pic 6] | Duas províncias canadenses, Colúmbia Britânica e Nova Escócia, implementaram leis que exigem que os dados pessoais de organismos públicos, como escolas, hospitais e agências públicas, sejam armazenados e acessados apenas no Canadá, a menos que certas condições sejam cumpridas. O concurso para o projeto para consolidar os serviços de TIC do governo federal, incluindo o email, para 63 agências diferentes exige que a empresa contratante armazene os dados no Canadá (citando razões de segurança nacional). |
China |
[pic 7] [pic 8] [pic 9] [pic 10] | A China possui um dos mais amplos conjuntos de políticas de localização de dados, o que impede o fluxo de dados entre a China e o resto do mundo. Para começar, tem um longo tempo de "importações" de dados. Por exemplo, o Ministério da Segurança Pública administra o programa Golden Shield (comumente conhecido como o "Great Firewall of China"), o que restringe o acesso a determinados sites e serviços, em particular aqueles que criticam o Partido Comunista Chinês. Mas, mais importante ainda, do ponto de vista comercial, a China fez várias mudanças políticas na sequência das revelações de Snowden que restringem a transferência transfronteiriça de dados. Por exemplo:
|
Colômbia |
[pic 11] | Em 2016, o Ministério da Tecnologia da Informação e Comunicação da Colômbia pediu publicamente a localização de dados e lançou um documento - "Serviços Digitais Básicos" - que recomenda que os centros de processamento de dados estejam na Colômbia, pois percebem armazenar dados no exterior para serem muito grandes risco para segurança de rede e dados pessoais. Além disso, há preocupações de que o Escritório Nacional de Compras (NPO) da Colômbia possa incluir requisitos de localização de dados ou outras barreiras aos fluxos de dados como parte de um projeto de aquisição de serviços em nuvem para agências governamentais. Os primeiros rascunhos mostram que a NPO está considerando uma avaliação de "adequação" vaga e arbitrária para decidir quais países fornecem proteção de dados adequada. O NPO teria preparado uma lista preliminar de países "adequados", que não inclui os Estados Unidos, |
Chipre | [pic 12] | Chipre não substituiu várias disposições restritivas ao abrigo da directiva relativa à retenção de dados, que foi declarada inválida pelo Tribunal de Justiça da União Europeia (TJCE). Esta directiva exigiu que os operadores de dados conservassem certas categorias de dados de tráfego e de localização (excluindo o conteúdo dessas comunicações) por um período de seis meses a dois anos e para disponibilizá-los, mediante pedido, às autoridades responsáveis pela aplicação da lei para fins de investigação , detecção e perseguição de crimes graves e terrorismo. |
Dinamarca |
[pic 13] [pic 14] | Desde 2011, a autoridade dinamarquesa de proteção de dados decidiu em vários casos contra o processamento de dados das autoridades locais em países terceiros (União não-União Européia) sem usar cláusulas contratuais padrão. Além disso, a lei dinamarquesa sobre a retenção de dados ainda está em vigor depois que o TJCE declarou inválida a Data Retention Directive. Em 2011, a Agência Dinamarquesa de Proteção de Dados negou à cidade de Odense a permissão para transferir "dados sobre saúde, sérios problemas sociais e outros assuntos puramente privados" para o Google Apps, citando preocupações de segurança. Além disso, a Lei de Conservação do Livro da Dinamarca exige que as empresas armazenem dados contábeis na Dinamarca por cinco anos. Em circunstâncias especiais, a Agência de Comércio e Empresas da Dinamarca pode conceder permissão às empresas para preservar registros contábeis no exterior. No entanto, a prática mostrou-se bastante restritiva, |
União Européia |
| A localização dos dados é uma questão contenciosa na União Européia, já que alguns membros (como a França e a Alemanha) pressionam pela localização em políticas relevantes, enquanto outros (como o Reino Unido e a Suécia) promovem o fluxo de dados através das fronteiras. O esforço da Comissão Européia (CE) para construir um Mercado Único Digital é uma tentativa valente de remover barreiras que inibam a atividade econômica digital, como aqueles que requerem localização de dados. No entanto, como mostra este relatório, muitas dessas barreiras permanecem. Grandes empresas dos EUA classificaram a Europa como a área onde os requisitos de privacidade e proteção de dados representavam o maior obstáculo para fazer negócios on-line. Andrus Ansip, vice-presidente da CE para o mercado único digital, vem pressionando para remover as barreiras de localização e quer proibir tais medidas, mas seus esforços são prejudicados por outros (como alguns na Alemanha e na França) que não querem que a CE proíba explicitamente a localização. Uma parte central da plataforma política da União Européia que afeta as transferências transfronteiriças de dados é a busca da harmonização global de regimes de privacidade. A lei da UE sobre protecção de dados pessoais só permite a transferência de tais dados para países terceiros fora da UE que determinou fornecer um nível "adequado" de proteção. Até agora, a UE só reconheceu 12 países: Andorra, Argentina, Canadá, Suíça, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Estados Unidos (através do US-EU Privacy Shield Framework) e Uruguai. Os dados pessoais da UE não são tecnicamente susceptíveis de serem transferidos para qualquer outro país, embora seja ingênuo acreditar que é assim. A Europa tomou uma linha dura em direção aos Estados Unidos sobre transferências de dados; No entanto, quando seus próprios estudos sobre a proteção de dados em outros países importantes, como a China, mostram que outros países têm pouco ou nenhum nível de proteção de dados, ele se abstém de tomar qualquer ação. Isto destaca a insustentabilidade da abordagem da UE, na medida em que tenta configurar pontos de verificação para fluxos de dados para todos e cada um dos países em todo o mundo. |
Finlândia | [pic 15] | A Lei da Conta da Finlândia (1997) exige que uma cópia dos registros contábeis das empresas seja armazenada na Finlândia. Alternativamente, os registros podem ser armazenados em outro país da UE se for garantida uma conexão em tempo real com os dados. |
França | [pic 16][pic 17] | O governo francês procurou, ao longo dos últimos anos, promover uma infra-estrutura de centro de dados local, que alguns apelidaram de "a nuvem de souverain" ou a nuvem soberana. Em 2016, uma circular ministerial do governo francês (datada de 5 de abril) sobre contratos públicos esboçou que é ilegal usar uma nuvem não "soberana" (ou seja, fornecedor de nuvem estrangeira) para dados produzidos por administração pública (nacional e local). Todos os dados das administrações públicas devem ser considerados arquivos e, portanto, armazenados e processados em França. O Estatuto de Bloqueio Francês (Lei n.º 80-538) torna ilegal a transferência de informações (tais como dados) no exterior se a informação estiver envolvida em processos judiciais, na ausência de uma ordem judicial francesa. |
Alemanha |
[pic 18][pic 19][pic 20] | A Alemanha, juntamente com a França, tem estado no centro dos esforços para forçar as empresas a armazenar dados apenas na Europa ou mesmo no país, como através de um "Bundescloud" (uma nuvem para dados do governo) na Alemanha. Esta preferência pelo protecionismo digital contrasta radicalmente com a abordagem alemã, de outra forma, aberta ao comércio global. Os requisitos de dados podem variar de acordo com o estado na Alemanha. Por exemplo, o estado alemão de Brandenburgo exige que os dados sobre os residentes só possam ser armazenados em serviços de computação em nuvem localizados no estado. Em 18 de dezembro de 2016, a Alemanha introduziu requisitos locais de armazenamento de dados para um tipo de metadados de telecomunicações, através de uma lei que entrará em vigor em 1º de julho de 2017. A lei visa gerar e reter metadados de telecomunicações - quem, quando, onde e como, não o que (o conteúdo) de telecomunicações para fins de aplicação da lei e segurança. Isso pode incluir registros de chamadas de cidadãos, números de telefone, informações de localização, endereços de protocolo da Internet, tempo e dados do uso da Internet e informações de cobrança. O Código de Comércio da Alemanha exige que as empresas armazenem dados e documentos contábeis localmente. Além disso, o código tributário da Alemanha exige que todas as pessoas e empresas responsáveis pelos impostos alemães mantenham registros contábeis na Alemanha (com algumas exceções para empresas multinacionais). Além disso, para os dados tratados por organismos públicos, não parece haver uma disposição que exija expressamente a realização de dados na Alemanha. No entanto, esse processamento de dados fora do território alemão deve ser cuidadosamente verificado. Endereços de protocolo da Internet, tempo e dados do uso da Internet e informações de cobrança. O Código de Comércio da Alemanha exige que as empresas armazenem dados e documentos contábeis localmente. Além disso, o código tributário da Alemanha exige que todas as pessoas e empresas responsáveis pelos impostos alemães mantenham registros contábeis na Alemanha (com algumas exceções para empresas multinacionais). Além disso, para os dados tratados por organismos públicos, não parece haver uma disposição que exija expressamente a realização de dados na Alemanha. No entanto, esse processamento de dados fora do território alemão deve ser cuidadosamente verificado. Endereços de protocolo da Internet, tempo e dados do uso da Internet e informações de cobrança. O Código de Comércio da Alemanha exige que as empresas armazenem dados e documentos contábeis localmente. Além disso, o código tributário da Alemanha exige que todas as pessoas e empresas responsáveis pelos impostos alemães mantenham registros contábeis na Alemanha (com algumas exceções para empresas multinacionais). Além disso, para os dados tratados por organismos públicos, não parece haver uma disposição que exija expressamente a realização de dados na Alemanha. No entanto, esse processamento de dados fora do território alemão deve ser cuidadosamente verificado. O código tributário da Alemanha exige que todas as pessoas e empresas responsáveis pelos impostos alemães mantenham registros contábeis na Alemanha (com algumas exceções para empresas multinacionais). Além disso, para os dados tratados por organismos públicos, não parece haver uma disposição que exija expressamente a realização de dados na Alemanha. No entanto, esse processamento de dados fora do território alemão deve ser cuidadosamente verificado. O código tributário da Alemanha exige que todas as pessoas e empresas responsáveis pelos impostos alemães mantenham registros contábeis na Alemanha (com algumas exceções para empresas multinacionais). Além disso, para os dados tratados por organismos públicos, não parece haver uma disposição que exija expressamente a realização de dados na Alemanha. No entanto, esse processamento de dados fora do território alemão deve ser cuidadosamente verificado. |
Grécia | [pic 21] | Em 2001, a Grécia introduziu os requisitos de localização de dados através de uma lei que implementa a Directiva de Retenção de Dados da UE, que afirmou que "Os dados gerados e armazenados em mídias físicas, localizadas no território grego, devem ser mantidos no território grego". a directiva relativa à retenção de dados foi invalidada pelo Tribunal de Justiça das Comunidades Europeias, a Grécia ainda não reformou a lei. A Comissão Europeia também criticou a lei por ser incompatível com o mercado único da UE, mas continua em vigor. |
Índia |
[pic 22] [pic 23]
| A Índia propôs um intervalo, e promulgou algumas, leis e regulamentos que exigem localização de dados. O Ministério das Comunicações e Tecnologia da Índia promulgou requisitos de transferência de dados como parte de uma alteração de 2011 às regras de privacidade que poderiam ser (mas não foram usadas) para restringir fluxos de dados contendo informações pessoais. Essas regras limitam a transferência de "dados pessoais confidenciais ou informações" para o exterior para apenas dois casos restritivos - quando "necessário" ou quando a pessoa concorda com a transferência para o exterior. Como é difícil estabelecer que um dado de transferência no exterior é "necessário", esta disposição proibiria as transferências para o exterior, exceto quando um indivíduo consentir. O ministério esclareceu que essas regras só se aplicam a empresas que coletam dados em índios e somente quando a empresa está localizada na Índia. No papel, essas leis são restritivas, no entanto, Em 2015, a Índia lançou um roteiro da National Machine Machine para Máquina que exige todos os gateways relevantes e servidores de aplicativos que atendem clientes na Índia para serem localizados na Índia. O Roteiro ainda não foi implementado. As agências governamentais indianas também fizeram da localização de dados um requisito para os provedores da nuvem que computam para contratos públicos. Por exemplo, em 2015, o Departamento de Eletrônica e Tecnologia da Informação da Índia emitiu diretrizes que os fornecedores da nuvem que procuram credenciamento para contratos governamentais teriam que exigi-los para armazenar todos os dados na Índia. |
Indonésia | [pic 24] [pic 25]
| A Indonésia possui uma variedade de leis de localização de dados que abrangem uma ampla gama de setores e tecnologias. A Indonésia vem expandindo sua gama de políticas de localização como parte de um apego persistente ao desenvolvimento estatal e estratégias de proteção nacional. Em 2012, a Indonésia decretou um regulamento de regra no. 82- no que diz respeito à Prestação de Sistema Eletrônico e Transações, que exige "operadores de sistemas eletrônicos para serviço público" para armazenar dados localmente. Funcionários indonésios declararam que "serviço público" significa qualquer atividade que presta um serviço por um prestador de serviços públicos, de acordo com a ampla definição do termo usado nos regulamentos de implementação para a Lei de Serviço Público de 2009. Em 2014, A Indonésia pareceu acompanhar isso quando o governo começou a considerar um "Projeto de Regulamento com Diretrizes Técnicas para Centros de Dados" que exigiria que empresas baseadas na Internet, como o Google e o Facebook, criem centros locais de armazenamento de dados. O efeito potencialmente amplo de a lei foi evidente por comentários de um porta-voz de que a lei "abrange qualquer instituição que presta serviços baseados em tecnologia da informação". Mais recentemente, o Ministério da Tecnologia e da Informação da Indonésia emitiu o Regulamento 20/2016 sobre proteção de dados pessoais que afirmou que os provedores de sistemas eletrônicos são obrigados a processam dados privados protegidos apenas em centros de dados e centros de recuperação de desastres localizados na Indonésia. As políticas de localização também estão se espalhando para outras áreas. Em 2014, O banco central da Indonésia decretou uma regra que exige que operadores de dinheiro eletrônico armazenem dados localmente. Em 2016, o Ministério das Comunicações e Informática da Indonésia emitiu a Circular nº 3, que notifica as empresas de serviços topo de gama (como o Skype e o WhatsApp) sobre novos regulamentos, incluindo o requisito de armazenar dados localmente. |
Irã | [pic 26] | O Irã não possui um ato explícito de proteção de dados pessoais, mas está se movendo lentamente para desenvolver sua própria intranet nacional - a Internet Halal - para se separar (da melhor maneira possível) do resto da Internet, incluindo movimentos em direção a maiores dados localização. O governo do Irã opera um extenso regime de censura online. Durante os protestos políticos em 2009, o Irã bloqueou o Facebook, Twitter e YouTube. Em 2015, o Irã lançou seus próprios motores de busca, que apenas mostram sites aprovados. Em agosto de 2016, o Irã criou seu primeiro centro de dados de nuvem pago pelo governo. Em maio de 2016, o Irã ordenou aplicativos de mensagens estrangeiros, como WhatsApp e Telegram, para armazenar dados de usuários iranianos localmente. |
Cazaquistão | [pic 27] [pic 28] | Desde 2005, o Cazaquistão exigiu que todos os nomes de domínio registrados no país (ou seja, no domínio ".kz" de nível superior) operam em servidores físicos dentro do país). Além disso, em 2015, o Cazaquistão aprovou uma emenda à sua lei de proteção de dados pessoais que exige que proprietários e operadores coletem e usem dados pessoais para manter esses dados no país. O requisito de localização de dados pessoais aplica-se a empresas estabelecidas no Cazaquistão e a proprietários individuais no Cazaquistão, incluindo agências e escritórios de representação de empresas estrangeiras. Não está claro se o requisito de localização deve ser aplicado a empresas estrangeiras sem qualquer presença legal no Cazaquistão, mas cujos sites são acessíveis no Cazaquistão. |
Quênia |
| Em junho de 2016, o Quênia lançou seu projeto de Política Nacional de Tecnologia da Informação e Comunicação, que visa atualizar os esforços do governo para revisar a política econômica relacionada às TIC. Na seção sobre centros de dados, sob o título de objetivos políticos, o relatório afirma que a política deve "facilitar o desenvolvimento e a promulgação de legislação para apoiar o crescimento do consumo de serviços de TI - como um mecanismo para estimular o crescimento do data center". Embora nenhuma localização de dados foi promulgado (ainda), isso parece com desconfiança como uma tentativa de usar a localização para fins mercantilistas. |
Luxemburgo | [pic 29] | Em 2012, o regulador dos serviços financeiros do Luxemburgo emitiu uma circular que as instituições financeiras são obrigadas a processar seus dados no país, a menos que a entidade ultramarina faça parte da mesma empresa ou se os dados sejam transferidos com consentimento explícito. |
Malásia | [pic 30] | Em 2010, a Malásia promulgou a Lei de Proteção de Dados Pessoais, que entrou em vigor em 2013. Os dados pessoais não podem ser transferidos para além da Malásia, a menos que a ação tenha sido aprovada pelo governo da Malásia. As exceções a esta regra incluem se a pessoa em causa tiver dado aprovação, a transferência faz parte de um contrato entre a pessoa em questão e o usuário de dados, se forem tomadas medidas razoáveis para proteger os dados, ou se a transferência for necessária para proteger a pessoa em questão interesses vitais. Tal como acontece com outros países, um requisito de consentimento para transferência para o exterior é um requisito oneroso de satisfação. |
A Holanda | [pic 31] | A Lei de Registros Públicos da Holanda exige que registros públicos sejam armazenados em arquivos em locais específicos do país. |
Nigéria | [pic 32] [pic 33] | Em 2014, a Nigéria decretou as "Diretrizes para o Desenvolvimento do Conteúdo da Nigéria em Tecnologias de Informação e Comunicação (TIC)", que introduziu várias restrições nos fluxos de dados transfronteiriços e exigiu que todos os dados do assinante, do governo e do consumidor sejam armazenados localmente. Além disso, em 2011, o Banco Central da Nigéria introduziu uma medida que exigia que todas as transações de ponto de venda e ATM fossem processadas localmente. Sob nenhuma circunstância essas transações são processadas fora da Nigéria. |
Nova Zelândia | [pic 34] | A Lei de Receita Interna da Nova Zelândia exige que as empresas armazenem registros comerciais em centros de dados locais. |
Polônia | [pic 35] | A Polônia exigiu que as entidades de comércio eletrônico armazenassem os detalhes dos clientes na Polônia, mas depois de uma intervenção da Comissão Européia, a Polônia foi forçada a levantar o requisito, e agora é suficiente que os servidores estejam na UE. A lei polonesa de jogos de azar também exige que as empresas de jogos de azar online armazenem todos os dados relacionados às apostas dos clientes na União Européia. |
Roménia | [pic 36] | Em 2015, a Romênia promulgou novos regulamentos de jogo online que exigem que todos os dados dos jogadores e suas atividades de jogo sejam armazenados na Romênia. |
Rússia | [pic 37] [pic 38] | A Rússia opera um dos mais extensos conjuntos de políticas de localização de dados no mundo. Em 2015, a Rússia promulgou uma Lei de Dados Pessoais que exige que os operadores de dados que coletam dados pessoais sobre cidadãos russos devem "registrar, sistematizar, acumular, armazenar, alterar, atualizar e recuperar" dados usando bancos de dados fisicamente localizados na Rússia. Estes dados pessoais podem ser transferidos para fora, mas apenas depois de serem armazenados pela primeira vez na Rússia. A Rússia ameaçou desligar e sites finos, como o LinkedIn, que se recusam a armazenar dados localmente. Além disso, em 2016, a Rússia promulgou extensos novos requisitos de localização de dados para dados de telecomunicações. A abordagem da Rússia é muito mais ampla do que os requisitos de retenção de dados de telecomunicações de outros países, uma vez que exige que as empresas armazenem o conteúdo real das comunicações dos usuários por seis meses, tais como dados de voz, mensagens de texto, imagens, sons e vídeo, não apenas os metadados (quem, quando, e quanto tempo de comunicações). Em segundo lugar, exige que as empresas de telecomunicações e os ISP reduzam os serviços aos usuários se não responderem a um pedido de aplicação da lei para confirmar sua identidade (o que aumenta uma variedade de questões de privacidade). |
Coreia do Sul | [pic 39] [pic 40] [pic 41] | Na Coréia do Sul, a Lei de Proteção de Informações Pessoais exige que as empresas obtenham o consentimento de "sujeitos de dados" (ou seja, os indivíduos associados a determinados conjuntos de dados) antes de exportar esses dados. O ato também exige que os "sujeitos de dados" sejam informados sobre quem recebe seus dados, o propósito do destinatário para ter essa informação, o período em que as informações serão mantidas e as informações pessoais específicas a serem fornecidas. Este é claramente um fardo substancial para as empresas que tentam enviar dados através das fronteiras. A Coreia usou os requisitos de localização de dados para proteger os operadores locais de comércio eletrônico e de pagamento. O Regulamento da Coréia sobre Supervisão de Negócios Financeiros Especializados em Crédito proibiu as empresas de comércio eletrônico de armazenar os números de cartão de crédito do cliente coreano fora do país. Em 2013, A Coréia revisou ligeiramente esta regra permitindo que certas empresas estrangeiras de comércio eletrônico (aquelas com lojas em mais de cinco países) armazenassem esses dados no exterior. Em 2014, a Coréia do Sul promulgou uma lei - Lei sobre o Estabelecimento, Gestão e Etc. de Dados Espaciais - o que proíbe que o mapeamento de dados seja armazenado fora do país devido a preocupações de segurança. A Coréia é o único mercado significativo no mundo que mantém os requisitos de localização de dados para o mapeamento de dados. A Coréia defendeu a política, pois quer limitar a disponibilidade de imagens de satélite comerciais de alta resolução da Coréia por razões de segurança nacional, mesmo que essas imagens já estejam de Dados Espaciais - que proíbe que o mapeamento de dados seja armazenado fora do país devido a preocupações de segurança. A Coréia é o único mercado significativo no mundo que mantém os requisitos de localização de dados para o mapeamento de dados. A Coréia defendeu a política, pois quer limitar a disponibilidade de imagens de satélite comerciais de alta resolução da Coréia por razões de segurança nacional, mesmo que essas imagens já estejam de Dados Espaciais - que proíbe que o mapeamento de dados seja armazenado fora do país devido a preocupações de segurança. A Coréia é o único mercado significativo no mundo que mantém os requisitos de localização de dados para o mapeamento de dados. A Coréia defendeu a política, pois quer limitar a disponibilidade de imagens de satélite comerciais de alta resolução da Coréia por razões de segurança nacional, mesmo que essas imagens já estejam disponível comercialmente. Em 2015, a Coréia promulgou a Lei sobre Promoção da Computação em Nuvem e Proteção de Usuários. As diretrizes subsequentes - as Normas de proteção de dados para as diretrizes de serviços de computação em nuvem - contêm regras que exigem efetivamente a localização de dados, pois as redes de computação em nuvem que atendem as agências públicas devem ser fisicamente separadas das redes que atendem o público em geral. Embora essas diretrizes sejam apenas "recomendadas" e não há penalidade por incumprimento, as instituições coreanas geralmente seguem essas diretrizes. Esta política discriminatória pode ter um efeito significativo, uma vez que se aplica a milhares de instituições, como instituições educacionais, bancos públicos e hospitais públicos. |
Suécia | [pic 42] [pic 43] | A Autoridade de Serviços Financeiros da Suécia exige acesso "imediato" aos dados em sua supervisão de mercado, que, de acordo com os negócios, o órgão de supervisão interpreta como tendo acesso físico aos servidores. Isso equivale a uma localização de facto, uma vez que as empresas são obrigadas a armazenar dados na Suécia. Além disso, a Suécia possui requisitos de contabilidade que obrigam as empresas a armazenar dados sobre registros e contas atuais da empresa na Suécia por sete anos. Além disso, existe o potencial para que os regulamentos do governo sueco sejam interpretados de tal forma que os dados processados por uma agência governamental precisem ser realizados na Suécia, o que, obviamente, afetará a computação em nuvem e, em última análise, resultará na localização de dados. |
Taiwan | [pic 44] | O Artigo 21 da Lei de Proteção de Dados Pessoais de Taiwan permite às agências governamentais restringir as transferências internacionais nas indústrias que regulam, sob certas condições, como quando a informação envolve interesses nacionais importantes, por tratado ou acordo, proteção inadequada ou quando a transferência estrangeira é usado para evitar leis taiwanesas. |
Peru | [pic 45] [pic 46] | Em 2013, a Turquia promulgou uma lei - a Lei sobre Pagamentos e Sistemas de Liquidação de Segurança, Serviços de Pagamento e Instituições de Dinheiro Eletrônico - que obriga os serviços de pagamento baseados na Internet, como o PayPal, a armazenar todos os dados na Turquia por dez anos. O PayPal se retirou do país depois de se recusar a cumprir este requisito de localização de dados. Em 2016, a Turquia promulgou a Lei sobre Proteção de Dados Pessoais, que limita a transferência de dados pessoais da Turquia e pode exigir que as empresas armazenem dados em cidadãos turcos no país . A lei impõe obrigações pesadas aos controladores de dados e aos processadores, exigindo "consentimento expresso" de indivíduos para transferir dados pessoais para outro país. A necessidade de engajamento específico e individual tem o potencial de atuar como localização de fato de dados. A nova lei da Turquia adota uma abordagem igualmente insustentável e irreal aos fluxos de dados internacionais e à proteção como a da União Européia, exigindo avaliações país por país das proteções de privacidade. O recém formado "Conselho de Proteção de Dados" da Turquia (com funcionários designados, e não equipe técnica) avaliará se outros países fornecem um nível "adequado" de proteção de privacidade. De acordo com esta lei, se o país que recebe dados do país não oferece proteção "adequada", o Conselho de Proteção de Dados deve fornecer permissão para cada transferência. não técnico) avaliará se outros países fornecem um nível "adequado" de proteção de privacidade. De acordo com esta lei, se o país que recebe dados do país não oferece proteção "adequada", o Conselho de Proteção de Dados deve fornecer permissão para cada transferência. não técnico) avaliará se outros países fornecem um nível "adequado" de proteção de privacidade. De acordo com esta lei, se o país que recebe dados do país não oferece proteção "adequada", o Conselho de Proteção de Dados deve fornecer permissão para cada transferência. |
Reino Unido | [pic 47] | De acordo com o Companies Act 2006 do Reino Unido, "se os registros contábeis forem mantidos em um lugar fora do Reino Unido, contas e devoluções ... devem ser enviados para um lugar no Reino Unido e permanecerem em seu horário esteja aberto a essa inspeção ". |
Estados Unidos | [pic 48] [pic 49] | Os Estados Unidos propuseram ou aprovaram alguns requisitos de localização de dados, a maioria dos quais se concentra nos contratos públicos. Mais recentemente, os Estados Unidos pressionaram para que os dados dos serviços financeiros fossem isentos de regras na Parceria Trans Pacific, que proibia os países de impor entraves aos fluxos de dados. No entanto, após o acordo ter sido finalizado, os Estados Unidos procuraram limitar o alcance desta disposição através de discussões bilaterais e através de provisões em negociações em curso para um Contrato de Serviços de Comércio. Em 2016, o Serviço de Receita Federal dos EUA emitiu a publicação 1075-Tax Information Security Diretrizes para agências federais, estaduais e locais - que delineou (seção 9.3.15.7) que as agências federais devem "restringir a localização dos sistemas de informação que recebem, processam, armazenam, ou transmitir [informações fiscais federais] para áreas dentro dos territórios, embaixadas ou instalações militares dos Estados Unidos ". Em 2015, o Departamento de Defesa dos EUA emitiu regras revisadas que requerem todos os provedores de serviços de computação em nuvem que trabalham para o departamento para armazenar dados no mercado interno . Os requisitos domésticos de armazenamento de dados às vezes são um requisito para outros contratos públicos federais, mas não são uma política explícita em todo o governo. Da mesma forma, alguns governos estaduais e locais impõem esses requisitos nos contratos. A Cidade de Los Angeles, por exemplo, exigiu que o Google armazene seus dados nos Estados Unidos continentais como condição do seu contrato com a cidade. Em 2004, O Tennessee promulgou um projeto de lei (SB 2344) que dá preferência aos provedores locais quando avaliam propostas para contratos de compras estaduais que exigem a entrada de dados e / ou serviços de call center. A preferência é fornecida quando o contrato é fornecido por cidadãos dos EUA e outras pessoas autorizadas a trabalhar nos Estados Unidos. Da mesma forma, em 2004, um representante do estado de Ohio propôs um projeto de lei (n. ° 459) que proibiria a transferência de dados pessoais no exterior sem consentimento por escrito como parte de projetos de aquisição estaduais. O projeto de lei nunca se tornou lei. Legislações semelhantes foram propostas no Missouri e em outros estados. Em 2011, um senador do estado de Nova York propôs uma lei (S3713) que proibiria a transferência de informações pessoais fora dos Estados Unidos sem o prévio consentimento por escrito do consumidor. Pretendia favorecer as empresas locais, |
Vietnã | [pic 50] [pic 51] | O Vietnã possui extensas políticas de localização de dados no âmbito de amplos esforços para controlar atividades baseadas na Internet (tanto para fins políticos como comerciais). Por exemplo, o Vietnã proíbe o acesso direto à Internet através de ISPs estrangeiros e exige que os ISP nacionais armazenem informações transmitidas na Internet por pelo menos 15 dias. Em janeiro de 2016, o Vietnã divulgou um projeto de regulamento - Projeto de Decreto, alterando o Decreto 72 - para - serviços de segurança (como WhatsApp e Skype) que incluíam um requisito forçado de localização de dados. Em 2013, o Vietnã promulgou um decreto-lei 72 sobre a gestão, provisão e uso de serviços de Internet e informações on-line que requer uma ampla gama de empresas on-line (como redes sociais, provedores de jogos online e sites de informações gerais) para ter pelo menos um servidor no Vietnã "que serve a inspeção, |
Venezuela |
[pic 52] | A Venezuela aprovou os regulamentos que exigem que a infra-estrutura de TI para o processamento de pagamentos seja localizada no país. |
...