COMISSÃO EUROPEIA
MEMO
Bruxelas, 27 de setembro de 2012
Explorar plenamente o potencial da computação em
nuvem na Europa - O que é e o que significa para mim?
Ver também IP/12/1025O que é a computação em nuvem?
A «computação em nuvem» é o armazenamento, tratamento e utilização de dados em computadores remotos a que se pode aceder através da Internet. Muitas pessoas utilizam hoje a nuvem sem sequer se darem conta disso. Há serviços, como os de webmail ou de redes sociais, que podem basear-se na tecnologia dos serviços em nuvem. Para os utilizadores profissionais da informática, a computação em nuvem traduz-se num elevado grau de flexibilidade no que respeita à quantidade de recursos informáticos necessária. Por exemplo, se a utilização de um serviço aumenta, é muito simples acrescentar-lhe capacidade – algo que levaria muito mais tempo se a empresa que o fornece tivesse de instalar uma nova máquina física no seu próprio centro de dados.
Como funciona a computação em nuvem?
O utilizador liga o seu computador à plataforma dos serviços em nuvem através de
software específico. Na nuvem, a capacidade de processamento é fornecida por grandes
centros de dados com centenas de servidores e sistemas de armazenamento de dados capazes de lidar com praticamente qualquer tipo de software (desde o tratamento de dados a jogos vídeo) que os clientes possam necessitar de utilizar. Por vezes, os serviços são oferecidos gratuitamente (por exemplo, os de webmail), mas a maioria dos clientes poderá pagá-los de modo flexível, por utilização ou por taxa mensal única.
Onde ficam armazenados os meus dados quando utilizo a nuvem?
Num centro de dados algures no planeta. Se a localização física for importante, os utilizadores devem assegurar-se de que ela fica especificada nos seus contratos de computação em nuvem. No que se refere aos dados pessoais de terceiros, a Diretiva Proteção de Dados exige que os dados sejam armazenados no Espaço Económico Europeu (EEE) ou num território cuja legislação sobre a proteção da privacidade seja equivalente.Quais são as principais vantagens da computação em nuvem para
os utilizadores?
Os utilizadores não têm de comprar software ou comprar e manter servidores e meios de armazenamento de dados dispendiosos, pelo que poupam em dinheiro, no espaço das instalações e em pessoal próprio de apoio informático. Dispõem ainda de flexibilidade quase total no que respeita ao espaço de armazenamento e às ferramentas que utilizam.
Porque precisamos de uma estratégia da UE para explorar
plenamente o potencial da computação em nuvem?
Os benefícios económicos são muito maiores – 160 000 milhões de euros por ano, ou seja, cerca de 300 euros por pessoa por ano – com uma ação pan-europeia. Atualmente, a diversidade das regras a nível dos Estados-Membros faz aumentar a incerteza das empresas quanto às suas obrigações jurídicas, o que atrasa a adesão à computação em nuvem. Embora sejam de saudar as iniciativas levadas a cabo neste domínio nos Estados-Membros, como a Andromède em França, a G-Cloud no Reino Unido e a Trusted Cloud na Alemanha, elas não são suficientes e não são a forma mais eficiente de fazer crescer o mercado para benefício de todos.
Quais são os ganhos em termos económicos e de emprego
resultantes de uma estratégia europeia para a computação em
nuvem?
Novas estimativas indicam que as receitas da computação em nuvem na UE poderão aproximar-se dos 80 000 milhões de euros até 2020, se a intervenção política for bem sucedida (o crescimento do setor mais do que duplicará). Esta estratégia conduz, pois, à criação de um novo ramo de atividade e permite reforçar o poder concorrencial, em especial face aos Estados Unidos.
Em termos mais gerais, prevemos um ganho líquido anual de 160 000 milhões de euros no PIB da UE até 2020 (ou um ganho total de perto de 600 000 milhões de euros entre 2015 e 2020), se a estratégia da UE para a nuvem for posta integralmente em prática. Sem isso, os ganhos económicos não passarão de um terço daqueles valores.
Estes benefícios resultam, em grande parte, do facto de as empresas poderem poupar dinheiro ou obter acesso a tecnologias que lhes permitem ser mais produtivas.
Em termos de emprego, prevemos que serão criados 3,8 milhões de postos de trabalho com a plena execução da estratégia, em contraste com 1,3 milhões no caso de não se procurar eliminar os obstáculos regulamentares e outros obstáculos políticos1.
Qual é o calendário das ações? Quanto tempo é necessário para
realizar mudanças concretas?
A Comissão irá realizar em 2013 as ações essenciais identificadas na comunicação, nomeadamente em matéria de normalização e certificação para a computação em nuvem, elaboração de condições contratuais seguras e justas e criação da parceria europeia para a nuvem. Um relatório intercalar, a apresentar até ao final de 2013, mostrará se são necessárias novas iniciativas políticas e legislativas.
Quem pode tirar proveito da computação em nuvem?
Todos os utilizadores da Internet; a computação em nuvem poderá revolucionar muitos domínios.
Segundo alguns inquéritos, 81% das empresas que utilizam já serviços em nuvem registam uma redução de 10%-20% nos custos informáticos; 20% registam poupanças de 30% ou mais.
Muitos consumidores utilizam já serviços básicos de computação em nuvem (p. ex., correio eletrónico do tipo webmail). Uma grande capacidade de armazenamento com um custo mínimo ou nulo, um acesso prático e omnipresente e a redução das despesas são algumas das vantagens oferecidas pela nuvem.
A computação em nuvem pode trazer vantagens consideráveis ao setor público, facilitando o fornecimento de serviços integrados, eficazes e de menor custo.
A computação em nuvem pode igualmente impulsionar a investigação, dado que as instituições de investigação poderão complementar as suas próprias infraestruturas informáticas específicas com as dos fornecedores de serviços em nuvem, podendo assim manter grandes volumes de dados e tratá-los muito mais rapidamente, e a inovação, já que se torna muito mais fácil e barato experimentar novas ideias de produtos ou serviços informáticos.
Como pode a computação em nuvem contribuir para a proteção do
ambiente?
O rápido crescimento da informática faz com que este setor seja uma das fontes de emissões de carbono com crescimento mais rápido, tal como a aviação. Neste contexto, a computação em nuvem é a melhor maneira de aumentar a eficiência da utilização de recursos informáticos em termos de emissões de carbono, dado ser muito mais fácil planear grandes investimentos neste domínio com servidores de baixo consumo e fontes de energia ecológicas do que assegurar que centenas de milhões de utilizadores de recursos informáticos farão boas escolhas em termos ecológicos. Além disso, é possível otimizar a utilização dos equipamentos, reduzindo o número de máquinas físicas necessárias para realizarem um dado conjunto de tarefas.
A Comissão Europeia está a financiar um projeto de investigação – o projeto de servidores Eurocloud – cujos primeiros resultados mostram que será possível reduzir em 90% o consumo de energia dos centros de dados em nuvem, para além dos ganhos de eficiência já alcançados com a passagem das soluções de computador de mesa e de servidor para soluções em nuvem.
Como poderá a computação em nuvem afetar o setor das TIC?
Um estudo que abrangeu 1000 empresas europeias revela que, se os obstáculos à computação em nuvem forem eliminados:
• Mais de 98% das empresas da UE começarão a utilizar ou utilizarão mais os serviços em nuvem.
• A nuvem irá atrair novos utilizadores: 96% das empresas da UE que não utilizam serviços em nuvem mas estão a ponderar essa possibilidade começarão a investir efetivamente nessa utilização.
• Haverá um aumento da procura de qualificações informáticas, não só nos domínios essenciais, designadamente na gestão dos centros de dados, mas também, por exemplo, na comercialização digital, na conceção de aplicações, nas redes sociais e na «saúde» financeira.
Informações sobre a parceria europeia para a nuvem (PEN)
O que é a parceria europeia para a nuvem e para que serve?
A parceria europeia para a nuvem (PEN) será constituída por funcionários superiores responsáveis por contratos públicos que trabalham em organismos públicos europeus e pelos principais atores dos setores da informática e das telecomunicações. A PEN, sob a orientação de um conselho de direção, reunirá autoridades responsáveis pelos contratos públicos e consórcios do setor para realizarem ações pré-comerciais de contratação pública. Deste modo, poderão determinar os requisitos do setor público em matéria de computação em nuvem, elaborar especificações para contratos públicos no domínio da informática e adquirir implementações de referência. Este processo promoverá, pois, o avanço para a contratação pública em comum ou mesmo em conjunto de serviços de computação em nuvem por parte de organismos públicos com base em requisitos comuns de utilizador. A PEN não visa criar uma infraestrutura física de computação em nuvem. Através de requisitos em matéria de contratos públicos que serão promovidos pelos Estados-Membros e pelas entidades públicas participantes para utilização em toda a UE, visa, antes, assegurar que a oferta comercial de serviços de computação em nuvem na Europa, tanto do setor público como do privado, estará adaptada às necessidades europeias.
Como funcionará a parceria europeia para a nuvem (PEN)?
Um conselho de direção fornecerá orientações estratégicas, em especial no que respeita à adesão do setor público aos serviços de computação em nuvem, de modo a moldar o mercado para benefício de todos os potenciais utilizadores de serviços em nuvem.
A outra componente essencial da PEN é o seu nível de execução: foi reservado um orçamento inicial de 10 milhões de euros para um projeto pré-comercial de contratação pública no âmbito do tema TIC do 7.º PQ de investigação2. Este projeto exigirá uma
estreita coordenação e uma conjugação de esforços entre os diversos intervenientes do setor público de vários Estados-Membros, a fim de consolidar os requisitos do setor público para a aquisição e utilização de serviços de computação em nuvem.
Qual é a principal função do conselho de direção da parceria
europeia para a nuvem (PEN)?
A principal função do conselho de direção é:
• fornecer conselhos sobre as prioridades estratégicas para tornar a computação em nuvem na Europa um motor de crescimento económico, inovação e criação de serviços públicos economicamente eficientes através da parceria europeia para a nuvem;
• formular recomendações sobre o estabelecimento de políticas com vista a uma computação em nuvem segura e interoperável que contribua para o mercado único digital europeu.
Qual é o regime de funcionamento do conselho de direção da
PEN?
Os membros do conselho de direção e o seu Presidente serão nomeados pelo Comissário responsável pela Agenda Digital e atuarão a título pessoal. O conselho de direção reúne-se duas ou três vezes por ano, podendo consultar organismos da indústria, das universidades e das administrações públicas, bem como peritos.
A primeira reunião do conselho de direção está prevista para o último trimestre de 2012.
Proteção de dados, segurança, privacidade e direitos dos
utilizadores
De que forma poderá essa estratégia ajudar-me a fazer valer os
meus direitos como utilizador de serviços em nuvem?
Uma das ações essenciais da estratégia consiste em elaborar condições contratuais-tipo que contemplem questões não abrangidas pelo direito europeu comum da compra e venda, nomeadamente a conservação dos dados após o termo do contrato, a divulgação e a integridade dos dados, a localização e a transferência dos dados, a propriedade dos dados ou ainda a responsabilidade direta e indireta. A definição e o desenvolvimento de soluções coerentes em matéria de condições contratuais são uma forma de encorajar a ampla aceitação dos serviços de computação em nuvem, fazendo aumentar a confiança dos consumidores.
Como se relaciona esta estratégia com as propostas da Comissão
sobre a proteção de dados?
As preocupações dos fornecedores e dos utilizadores de serviços de computação em nuvem foram cuidadosamente analisadas durante o trabalho preparatório do regulamento relativo à proteção de dados, proposto pela Comissão em janeiro de 2012. O regulamento proposto constitui uma boa base geral para o futuro desenvolvimento da computação em nuvem.
Dado que as preocupações em matéria de proteção de dados foram identificadas como um dos mais sérios obstáculos à adesão à computação em nuvem, torna-se ainda mais importante que o Conselho de Ministros e o Parlamento Europeu avancem para a adoção do regulamento proposto o mais cedo possível em 2013.
Uma vez adotado o regulamento proposto, a Comissão fará uso dos novos mecanismos para fornecer eventuais orientações suplementares para a aplicação da legislação europeia relativa à proteção de dados no que respeita aos serviços de computação em nuvem.
O que está a ser feito concretamente a nível mundial para
assegurar uma regulamentação coerente?
A computação em nuvem é uma atividade à escala mundial que exige a intensificação do diálogo internacional sobre a utilização transfronteiras segura e sem descontinuidades.
A Comissão Europeia está a trabalhar, no âmbito dos diálogos internacionais, nos domínios do comércio, das medidas de fiscalização e repressão, da segurança e da cibercriminalidade, para que sejam tomados devidamente em conta os novos problemas suscitados pela computação em nuvem.
Estes diálogos têm lugar em fóruns multilaterais, como a OMC e a OCDE, destinando-se a estabelecer objetivos comuns para os serviços de computação em nuvem, bem como a nível bilateral, com os EUA, o Japão e outros países.
Como posso saber se os meus dados estão armazenados na
Europa ou fora dela?
A questão da localização dos dados deve constar das condições contratuais. No entanto, os contratos correntes do tipo «pegar ou largar» utilizados atualmente por muitos fornecedores de serviços em nuvem podem não incluir essas informações. A estratégia sublinha a necessidade de elaborar condições contratuais-tipo que contemplem questões não abrangidas pelo direito europeu comum da compra e venda, nomeadamente a questão da localização dos dados.
Que acontece aos meus dados se a empresa cujos serviços em
nuvem utilizo cessar a sua atividade?
Normalmente, essa situação está prevista nas condições contratuais; é a necessidade de uma proteção mais clara que leva a Comissão a elaborar condições contratuais-tipo que contemplem questões não abrangidas pelo direito europeu comum da compra e venda.
Normas, certificação e contratos
Porque não estabelecem sozinhos as normas necessárias?
Porque vão chamar as empresas do setor para esta tarefa?
O processo de normalização funciona melhor se for conduzido pelas empresas. O setor está já a trabalhar intensamente para criar normas que façam aumentar a interoperabilidade das nuvens.
Começam a surgir normas, mas, de momento, não existe acordo quanto às que assegurarão a necessária interoperabilidade, reversibilidade e portabilidade dos dados. A Comissão pretende definir conjuntos coerentes de normas que facilitem a organização da oferta e da procura.
Quando esperam lançar o sistema de certificação?
A Comissão, com o apoio da ENISA e de outros organismos competentes, ajudará a criar sistemas de certificação voluntária à escala da UE na área da computação em nuvem (incluindo a proteção de dados) e elaborará uma lista desses sistemas até 2014.
Se o sistema é voluntário, que farão no caso de as empresas
decidirem pura e simplesmente não aderir?
Vamos continuar a trabalhar com as empresas para tornar o sistema mais atraente. Os cidadãos dizem-nos que querem aquelas informações; além disso, convém recordar que a certificação não é um castigo para as empresas. A certificação é apenas um meio pelo qual as empresas assinalam aos potenciais clientes a qualidade e a conformidade dos seus serviços.
A estratégia para a computação em nuvem prevê a criação de
uma supernuvem europeia?
Não, a estratégia não visa a criação de infraestruturas físicas. No entanto, queremos ver ofertas de computação em nuvem publicamente disponíveis conformes com as normas europeias não só em termos regulamentares, mas também de competitividade, abertura e segurança.
E quanto à segurança na nuvem?
Os riscos específicos da computação em nuvem em matéria de segurança estão relacionados com a existência de múltiplos clientes e a partilha dos recursos (ou seja, a mesma infraestrutura física serve, frequentemente, muitos clientes de um fornecedor de serviços de computação em nuvem). Na computação em nuvem, o cliente cede, em certa medida, o controlo da segurança ao fornecedor de serviços, pelo que se torna importante poder determinar se o fornecedor cumpre os requisitos de segurança. Os sistemas de certificação irão, pois, desempenhar um papel importante, dado que ajudam os fornecedores a assinalar de forma fiável aos potenciais utilizadores a conformidade dos seus serviços. Por outro lado, para quem não é perito em segurança informática, deixar as questões da segurança nas mãos de informáticos profissionais que trabalham para o fornecedor de serviços em nuvem pode, na verdade, fazer aumentar a segurança.
As nuvens são interoperáveis? É possível mudar facilmente de
fornecedor?
De momento, as diversas ofertas de serviços em nuvem não são tão interoperáveis como poderiam ser. Os fornecedores de serviços em nuvem podem utilizar diversos sistemas operativos ou interfaces de aplicações que não são interoperáveis, ou seja, o software criado para funcionar com um determinado fornecedor não poderá passar facilmente a funcionar com outro. Esta situação pode conduzir à dependência em relação a um fornecedor de serviços, já que não é necessariamente fácil transferir dados de uma nuvem para outra («aprisionamento dos clientes»).
A estratégia para a computação em nuvem abrange as questões
mais gerais de segurança?
A estratégia não abrange em si mesmas as questões de segurança relacionadas com a Internet e o ambiente em linha. Nos próximos meses, a Comissão abordará os problemas gerais da cibersegurança na sua estratégia para este domínio, que se dirigirá a todos os fornecedores de serviços da sociedade da informação, inclusive os fornecedores de serviços de computação em nuvem. Essa estratégia irá, nomeadamente, indicar as medidas técnicas e organizativas adequadas a adotar para gerir os riscos no domínio da segurança. Irá igualmente estabelecer a obrigação de comunicar os incidentes graves às autoridades competentes.
A estratégia para a computação em nuvem pretende dificultar as
atividades dos fornecedores de serviços internacionais em
nuvem na Europa?
Não. A estratégia visa facilitar a participação da Europa no crescimento da computação em nuvem à escala mundial, revendo as cláusulas contratuais correntes aplicáveis à transferência de dados pessoais para países terceiros e adaptando-as, na medida do necessário, aos serviços em nuvem, e exortando as autoridades nacionais responsáveis pela proteção de dados a aprovarem regras vinculativas para empresas, aplicáveis aos fornecedores de serviços em nuvem3. Além disso, a Comissão explorará igualmente os
diálogos internacionais em curso com os EUA, o Japão e outros países, no que respeita aos temas essenciais relacionados com a computação em nuvem.
3
Os pareceres nesta matéria do grupo de trabalho do artigo 29.º (ver WP 195 e WP 153) servirão de base para um documento da Comissão. As regras vinculativas para empresas são um meio de viabilização de transferências internacionais legais de dados: regem de modo juridicamente vinculativo o modo como as diferentes componentes de uma empresa, independentemente da sua
