Digitalização Bancária e a Nuvem

A transição para a nuvem tem sido um tema central no setor financeiro ao longo dos últimos anos, impulsionado pela crise e pela consequente busca de maior racionalização de custos e de processos. A digitalização bancária e o surgimento de projetos Fintech de múltiplas startups vieram acelerar esse fenómeno.

O que mudou recentemente é o modo como a nuvem passou a ser percecionada. A esse nível foi atingida uma certa normalidade. Todos nos recordamos de que há relativamente pouco tempo a decisão de avançar para a nuvem era um processo longo, cheio de incertezas e reticencias. As preocupações com a privacidade e a segurança dominavam o debate público, suscitando reservas de reguladores.

A Europa teve um contributo decisivo para alterar esse estado de coisas. Nomeadamente, ao incentivar e apadrinhar códigos de conduta para os serviços na nuvem, ao contribuir para o surgimento de SLAs e normas técnicas especificamente aplicáveis à nuvem ou ao adotar o Regulamento Geral de Proteção de Dados, que veio trazer toda uma nova disciplina legal e contratual para prestadores de serviços na nuvem e proteger os direitos e interesses dos seus clientes e dos titulares dos dados a seu cargo.

A transição para a nuvem ganhou, assim uma normalidade difícil de antecipar. A novidade é que, além da atenção das autoridades de proteção de dados, o tema passou também a fazer parte das preocupações da supervisão bancária. A este nível, a European Banking Authority (EBA) tem tido um papel da maior relevância.

Está atualmente em curso um processo de adoção de recomendações estabelecendo requisitos específicos quanto à contratação de serviços na nuvem, em outsourcing, por instituições de crédito, que complementa as orientações do Comité das Autoridades Europeias de Supervisão Bancária (CEBS), de 2006, especificamente quanto ao outsourcing. Em particular, a EBA procura agora assegurar maior convergência regulatória entre as autoridades de supervisão e reduzir os custos da adoção das medidas regulatórias no que se refere à nuvem.

Segundo as orientações da EBA, os projetos bancários que requeiram o recurso ao outsourcing e à nuvem, quando tenham uma certa materialidade, deverão ser notificados à autoridade de supervisão (em Portugal, o Banco de Portugal), antes mesmo de serem implementados.

A materialidade desses projetos é avaliada com recurso a critérios como o caráter crítico, o risco associado e a complexidade das atividades da instituição financeira cujo fornecimento passa a ser assegurado na nuvem, o impacto operacional de eventuais quebras de serviço, os riscos legais e reputacionais, bem como a potencial afetação de receitas em caso de disrupção na atividade e o potencial impacto de uma quebra de confidencialidade na instituição financeira e nos seus clientes.

As recomendações estabelecem também a necessidade de as instituições financeiras garantirem contratualmente direitos de acesso e de auditoria aos dados alojados na nuvem, admitindo, quanto a este último tema, em certos casos, a possibilidade de vários clientes de um prestador de serviços na nuvem poderem partilhar uma mesma auditoria, de modo a diminuírem os respetivos custos.

Por seu turno, o acesso deve ser permitido não apenas as instalações do prestador de serviços na nuvem, como também a todos os dispositivos, sistemas, redes e dados utilizados de modo a prestar o serviço. Os prestadores devem ainda garantir a proteção da confidencialidade, nomeadamente quando a informação viajar para fora do Espaço Económico Europeu (EEE).

Nestes casos, devem ser ponderados critérios como a estabilidade politica e certos aspetos do quadro jurídico dos Estados a partir dos quais os serviços na nuvem passam a ser prestados, como o regime de insolvência, as garantias de segurança, bem como a suscetibilidade de exercício dos direitos do cliente, em caso de violação contratual grave.

Relativamente ao outsourcing, em cadeia, na nuvem (vários subcontratados), as orientações são particularmente estritas, nomeadamente quando os dados viajam para fora do EEE, exigindo, entre outras coisas, que os vários subcontratados assumam as obrigações contratuais acordadas originariamente entre a instituição financeira e o primeiro prestador de serviços na nuvem (back to back).

Finalmente, as orientações impõem que os contratos de outsourcing na nuvem contenham planos de contingência e estratégias de saída para outro operador.

Em breve veremos o Banco de Portugal assumir um papel ativo na contratação de serviços na nuvem por instituições financeiras, pelo que estas e indiretamente as suas parceiras tecnológicas, com destaque para as startups na área do Fintech, ficarão também sujeitas a esse escrutínio.

Sócio, SRS Advogados