Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Alguns aspectos técnicos sobre a exclusão de dados na Google Cloud Platform

Documento técnico da Google explica as políticas de exclusão de dados da plataforma na nuvem da Google.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

Após alguns meses da promulgação do Regulamento Geral de Proteção de Dados (GDPR), a Google lançou um documento (Data deletion on Google Cloud Platform) detalhando como funciona o processo técnico de exclusão de dados do cliente no Google Cloud Platform.

A lei européia sobre privacidade e proteção de dados pessoais, assim como a nossa Lei Geral de Proteção de Dados Pessoais (LGPDP) sancionada recentemente, exigem das empresas transparência no processo de coleta, retenção e uso dos dados pessoais. Se os usuários quiserem, por exemplo, poderão pedir às empresas informações sobre seus dados pessoais armazenados.

Sendo assim, empresas que tratam dados pessoais são obrigadas a desenhar os seus processos levando em consideração os princípios da proteção de dados.

Como parte dessa obrigação e dos esforços continuados em fornecer transparência sobre o funcionamento da sua plataforma de dados na nuvem, o documento, de acordo com o gerente de produtos de segurança e privacidade na nuvem do Google, Eric Chiang, explica como a empresa equilibra fatores como desempenho, baixa latência, alta disponibilidade, escalabilidade, integridade e durabilidade, de forma que os clientes possam melhor gerenciar o ciclo de vida dos seus dados.1

Para o usuário final, ler sobre o detalhamento do ciclo de vida da informação pode ser algo enfadonho e sem utilidade. O documento é direcionado, principalmente, a gerentes e executivos da área de segurança da informação e de compliance. São esses os profissionais que devem entender os detalhes de implementação dos ambientes de nuvem que sua organização utiliza ou pretende utilizar. As informações contidas nele, sobretudo aquelas referentes à exclusão de dados em nuvem, ajudarão a decidir se os requisitos e expectativas de segurança da informação serão atendidos para o cumprimento dos marcos regulatórios.

Fases do processo de exclusão

Fonte da Imagem: Deleting your data in Google Cloud Platform

Depois de oferecer uma visão geral sobre como os dados do cliente são armazenados na infraestrutura do Google Cloud Platform, o documento descreve o processo de exclusão em quatro fases, conforme a figura acima.

A primeira fase é a solicitação de exclusão, na qual o pedido de exclusão é direcionada a um recurso, projeto ou conta.

As solicitações de exclusão servem principalmente para que os clientes gerenciem dados. Apesar disso, o Google pode emitir solicitações de exclusão automaticamente, por exemplo, quando um cliente encerra o relacionamento com a plataforma.

Na segunda fase a solicitação de exclusão pode ser revertida. O pedido é registrado e há um período de carência que pode ser determinado antes que a exclusão lógica seja realizada. Os dados excluídos podem ser recuperados, caso o usuário tenha se enganado ou ainda precise deles.

A terceira fase é da exclusão lógica, na qual os recursos são removidos do armazenamento ativo. Normalmente, leva cerca de dois meses para que os dados sejam totalmente removidos.

Na quarta fase, assim como ocorre com a exclusão dos sistemas ativos do Google, os dados excluídos são eliminados do sistema de backup usando técnicas de eliminação por criptografia2, o que normalmente ocorre em cerca de seis meses.

Após a exclusão, a etapa final para garantir a exclusão total dos dados é o da sanitização. Aqui um passo extra é dado, no qual os dados sofrerão sobregravação de baixo nível ou serão destruídos fisicamente em alguns casos, seguindo padrões do governo e da indústria dos EUA, como o NIST SP 800-88 e o DoD 5220.22-M.

As informações contidas no documento têm o seu valor quando servirem para a avaliação de um programa de segurança de uma organização. Os gestores podem entender que no seu ambiente é preciso haver requisitos diferentes daqueles fornecidos por padrão pela plataforma Google, sugerindo, portanto, medidas adicionais.

Importante lembrar que não somente a Google disponibiliza para os seus clientes os detalhes sobre a exclusão de dados em nuvem. A Amazon (“Amazon Web Services: Visão geral de processos de segurança”)3 e a Microsoft (“Protegendo dados no Microsoft Azure”) 4 também têm os seus.

Os documentos aqui referenciados  e outros similares devem ser leitura obrigatória para aqueles que desejam levar a segurança na nuvem a sério.

Logo abaixo, uma animação simplificada para entendimento do processo:

Referências

  1. Deleting your data in Google Cloud Platform: https://cloud.google.com/blog/products/storage-data-transfer/deleting-your-data-in-google-cloud-platform
  2. What is Cryptographic Erasure (Crypto Erase)?: https://www.blancco.com/resources/article-what-is-cryptograhic-erasure/
  3.  Amazon Web Services: Visão geral dos processos de segurança: https://aws.amazon.com/pt/blogs/aws-brasil/whitepaper-processos-de-seguranca-aws/
  4.  Protecting Customer Data in Our Cloud through Microsoft Azure: https://cloudblogs.microsoft.com/microsoftsecure/2014/09/09/protecting-customer-data-in-our-cloud-through-microsoft-azure/

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.