4 godzin temu
Komisja Europejska ogłosiła gotowość do otwarcia przepływów danych osobowych z Brazylią i ujawniła, jak silnie jej własne systemy zależą od amerykańskich dostawców. Pokazuje to, jak trudne staje się dziś pogodzenie idei suwerenności cyfrowej z globalnym obiegiem informacji.
5 września Komisja oceniła, iż brazylijskie ramy ochrony prywatności są zasadniczo równoważne regulacjom unijnym. Tym samym uruchomiła procedurę tzw. decyzji o adekwatności, która pozwala na swobodny transfer danych osobowych między UE a Brazylią.
W ocenie Brukseli najważniejsze znaczenie miało brazylijskie ogólne prawo o ochronie danych z 2018 r., uzupełnione późniejszymi zaostrzeniami. Dzięki temu przedsiębiorstwa, instytucje publiczne i podmioty badawcze będą mogły niedługo taniej i prościej wymieniać się informacjami o obywatelach Europy, bez konieczności tworzenia dodatkowych mechanizmów kontraktowych.
Formalne wejście decyzji w życie wymaga jeszcze opinii Europejskiej Rady Ochrony Danych oraz stanowiska państw członkowskich i Parlamentu. W praktyce nie przewiduje się jednak większych przeszkód, bo od dawna spodziewano się pozytywnego rozstrzygnięcia w sprawie Brazylii.
Kontekst polityczny: dane i handel
Ogłoszenie decyzji zbiegło się w czasie z przyjęciem przez Komisję kontrowersyjnej umowy handlowej z Mercosurem – blokiem państw Ameryki Łacińskiej, do którego należy Brazylia. Porozumienie było negocjowane ponad dwie dekady, a jego finalizacja nastąpiła zaledwie dwa dni przed decyzją w sprawie adekwatności.
Pojawia się więc pytanie, na ile ocena systemu ochrony danych w Brazylii była czysto merytoryczna, a na ile stanowiła element szerszej układanki politycznej. Czy zielone światło dla transferu danych nie jest w istocie dodatkowym „gestem zaufania” mającym wzmocnić świeżo zawarty akt handlowy?
Chmura, która przecieka: cyfrowe pułapki pracy zdalnej w dobie zagrożeń danych
Słowa a praktyka
Komisarz ds. sprawiedliwości Michael McGrath podkreślił, iż decyzje o adekwatności są „naturalnym i niezbędnym krokiem” w budowaniu partnerstw z państwami przestrzegającymi wysokich standardów prywatności. Deklaracja brzmi przekonująco, ale praktyka każe być ostrożnym.
Historia decyzji o adekwatności – choćby wobec Stanów Zjednoczonych – pokazuje, iż mechanizmy te bywają kruche. Kilkukrotnie były kwestionowane przez Trybunał Sprawiedliwości UE, który wskazywał na ryzyko nieuprawnionego dostępu do danych przez służby innych państw. Czy brazylijskie gwarancje są faktycznie wystarczające, by uniknąć podobnych zastrzeżeń w przyszłości?
Chmura obliczeniowa w UE: Jak wyrwać się z amerykańskiego cienia?
Cień zależności od chmury USA
Równolegle ujawniono dane pokazujące, jak bardzo sama Komisja jest uzależniona od amerykańskich dostawców usług chmurowych. Według informacji przekazanych Euractiv aż 99 proc. codziennych obciążeń roboczych instytucji opiera się na technologii z USA.
Struktura tej zależności wygląda następująco: 14 proc. obciążeń działa w amerykańskich chmurach publicznych, podzielonych między AWS i Microsoft, a 85 proc. w ramach chmury prywatnej, która i tak korzysta z systemu Microsoft, Broadcom, Nutanix czy Oracle. Jedynie 1 proc. obsługiwany jest przez francuskie OVHcloud.
Tak silne związanie kluczowych procesów administracyjnych UE z technologią zza oceanu rodzi poważne ryzyko – zarówno dla poufności danych, jak i dla stabilności funkcjonowania instytucji.
Agenda technologiczna UE: Fundamenty przyszłości europejskiej innowacyjności
Zagrożenia prawne i polityczne
Badacze, tacy jak David Michels z Uniwersytetu Londyńskiego, zwracają uwagę, iż amerykańskie przepisy – FISA czy Cloud Act – mogą zobowiązać podmioty z USA do udostępniania danych władzom. Wystarczy, iż dostawca ma techniczną możliwość dostępu, np. poprzez serwery logowania lub centra wsparcia klienta.
To oznacza, iż choćby dane telemetryczne czy lokalizacyjne urzędników UE mogą stać się dostępne dla amerykańskich instytucji. W scenariuszu geopolitycznej eskalacji – jak sugerują sankcje nałożone przez administrację Donalda Trumpa na sędziego Międzynarodowego Trybunału Karnego – możliwe byłoby wręcz odcięcie Komisji od części usług chmurowych. Skutkiem byłyby przerwy w działaniu, błędy systemu czy zwiększone ryzyko cyberataków.
Komisja Europejska uzależniona od Microsoftu?
Europejskie alternatywy – realne czy iluzoryczne?
Komisja przyznaje, iż OVHcloud pełni rolę awaryjnej infrastruktury do odzyskiwania danych po awarii. Teoretycznie możliwe byłoby przeniesienie części obciążeń do europejskich dostawców chmury publicznej. Jednak proces migracji z obecnych systemów, w których dominuje technologia amerykańska, jest kosztowny i technicznie skomplikowany.
Wypowiedzi rzeczników Komisji wskazują, iż ogranicza się wykorzystanie amerykańskich chmur publicznych jedynie do działań pomocniczych – takich jak rozwój IT, strony informacyjne czy szkolenie silników tłumaczeniowych. Ale trudno nie zauważyć, iż i tak zasadnicza część kluczowych procesów administracyjnych UE opiera się na rozwiązaniach spoza Europy.
Kontrast między otwarciem przepływów danych z Brazylią a utrzymującą się zależnością od USA unaocznia strategiczny dylemat Unii. Z jednej strony Bruksela buduje narrację o zaufaniu i równoważności standardów ochrony danych w relacjach z partnerami globalnymi. Z drugiej – sama pozostaje wrażliwa na zewnętrzne naciski, bo jej cyfrowa infrastruktura w dużej mierze nie jest europejska.
To stawia pytania o realność koncepcji „suwerenności cyfrowej”. Czy można mówić o pełnej autonomii w polityce danych, skoro fundamenty systemu zależą od technologii kontrolowanej przez państwo trzecie? I czy decyzje o adekwatności – takie jak ta wobec Brazylii – nie są bardziej narzędziem polityki handlowej niż gwarancją stabilności ochrony prywatności?
