Avangarda avangardistilor: despre cloud computing cu Cristina Metea, directorul juridic al Microsoft Romania

Wkro/ September 30, 2014/ Articolul saptamanii, Interviuri

Interviu realizat de Mihaela Mocanu, redactor-sef al Revistei Romane de Drept al Afacerilor.

Revista Romana de Drept al Afacerilor: Buna ziua, doamna Metea! Ma bucur si va multumesc ca ati acceptat invitatia Revistei Romane de Drept al Afacerilor de a discuta pe marginea unei teme de avangarda: tehnologia cloud din perspectiva juridica. V-as ruga intai sa ne spuneti cateva lucruri despre dvs., in prezent sunteti directorul departamentului juridic al Microsoft Romania, detineti o pozitie importanta intr-una dintre cele mai renumite companii din lume. Cum se desfasoara activitatea dvs. cotidiana? As dori sa le oferim cititorilor nostri o imagine de culise.

Cristina Metea: Buna ziua si va multumesc pentru invitatie! M-am alaturat echipei Microsoft din Romania cu doi ani in urma. As vrea sa spun inca de la inceput ca ceea ce ma face mandra sa fac parte din aceasta echipa este nu doar reputatia companiei – ceea ce aduce cu sine si o mare responsabilitate! – cat mai ales faptul ca este o companie foarte principiala. Cand am decis sa plec din avocatura cu doi ani in urma, nu aveam deloc experienta pe domeniile IT/IP. Insa, criteriile decisive pentru care am fost selectata au fost experienta de 14 ani (la acel moment) in domeniul juridic si mai ales alinierea valorilor personale cu valorile companiei (etica, atitudine responsabila si colaborativa). Sunt impresionata sa vad ca Microsoft se ghideaza si urmareste activ aceste principii si nu sunt doar un set de valori care dau bine pe hartie.

R.R.D.A.: Este surprinzator ce am aflat, ati fost selectata fara a avea experienta in respectiva industrie. Este si un mare vot de incredere acesta. Va rog sa ne spuneti care erau ariile dvs. de specialitate.

C.M.: Ca avocat, am lucrat in diverse domenii ale dreptului, insa in ultimii sapte ani de avocatura, inainte de veni la Microsoft, am fost implicata in cea mai mare a timpului in arbitraje internationale, deosebit de complexe si interesante, care solicita, insa, un efort substantial de timp si energie.

Microsoft imi ofera nu numai ocazia de specializare intr-un domeniu complet nou pentru mine – tehnologia de ultima ora dar si oportunitati de dezvoltare personala. Compania are un business complex, bazat pe inovatie, cu o evolutie extrem de rapida. Ca expert juridic la Microsoft esti pus in situatia de a identifica solutii inovatoare, de a propune ca legislatia existenta sa fie adaptata la tendinte noi, tehnologia avansand intr-un ritm mult mai rapid decat cadrul legislativ.

R.R.D.A.: Din ce spuneti rezulta ca desfasurati o activitate ce este dinamica, ati spune ca este comparabila cu cea de avocat?

C.M.: Fata de avocatura, experienta de consilier juridic intr-o corporatie este foarte diferita, abordarea se indeparteaza de analiza academica, trebuie sa vii rapid cu solutii practice, care sa permita dezvoltarea business-ului. Comunicarea este diferita: colaborarea zi de zi cu specialisti internationali, cu pregatire si de nationalitati din cele mai variate, pe subiecte foarte diferite, impune o comunicare eficienta, la obiect, dar si adaptarea continua pentru depasirea barierelor culturale.

Cat priveste activitatea mea cotidiana, va garantez ca la Microsoft nu te poti plictisi! Am cel putin 3-4 intalniri sau conferinte telefonice pe zi, pe proiecte foarte diverse, in fiecare saptamana cunosc oameni noi din variate regiuni ale lumii si din diverse domenii si cel putin o data la doua saptamani particip la conferinte organizate de comunitatea juridica din Microsoft unde impartasim experientele noastre si primim informatii legate de noutati legate tehnologie, business si drept. In fiecare zi invat ceva nou, fie ca tine de tehnologie, fie de colaborarea cu oamenii. Iar momentele in care devin constienta de propriile limitari devin oportunitati bune de a le depasi. Este foarte interesant! Nu neaparat si usor.

R.R.D.A.: Intr-adevar, foarte interesant! Cum vedeti dinamica pietei romanesti in sfera serviciilor de cloud computing?

C.M.: In ultimii ani am remarcat un interes din ce in ce mai mare in Romania pentru solutiile bazate pe cloud, in toate segmentele de clienti. De exemplu, un studiu al CIO Council din 2013 privind adoptarea cloud-ului in cele mai mari 100 de organizatii din tara indica faptul ca pana in 2017 toate organizatiile vor folosi cloud, in special prin adoptarea unei solutii hibride (cloud public cu cloud privat).

Prin urmare, Romania este si o oportunitate pentru furnizorii de cloud computing, mai ales ca se constata o constientizare din ce in ce mai mare in randul companiilor a beneficiilor pe care le aduce acest tip de tehnologie. Un studiu realizat de Ipsos Mori in martie 2014 pentru Microsoft[1] evalueaza rolul pe care tehnologiile digitale il au pentru cresterea competitivitatii intreprinderilor mici si mijlocii. Studiul a cuprins 5770 de angajati ai companiilor cu pana la 250 de angajati din 13 piete europene, inclusiv 501 angajati ai unor companii din Romania. Rezultatele arata ca angajatii romani imbratiseaza tehnologiile IT moderne pentru productivitatea crescuta si abilitatea de a creste flexibilitatea la locul de munca. In ceea ce priveste scenariile pentru care companiile ar trebui sa investeasca in tehnologii moderne in 2014, 87% recomanda prioritizarea proiectelor de imbunatatire a securitatii datelor, 91% fac referire abilitatea de colabora si comunica cu colegi din alte locatii, 77% subliniaza nevoia de mobilitate si de a lucra de la distanta si 85% accentueaza nevoia de a accesa documente importante din afara biroului.

In acelasi timp, tehnologiile noi reclama si o schimbare in modul de abordare a clientilor pentru promovarea si explicarea impactului noilor tehnologii. Ca furnizor de tehnologie, trebuie sa extindem dialogul dincolo de conversatiile cu specialistii IT. Directorii financiari, de achizitii si de marketing sunt primii care inteleg avantajele cloud computing, legate de costuri, flexibilitate in comunicare, asigurarea de modalitati noi de promovare sau de organizare a propriei afaceri. Dialogul cu departamentele juridice, auditul intern, ofiterii de securitate este absolut necesar pentru a detalia masurile de protectie a datelor si securitate care sunt asociate serviciilor de cloud computing.

Prin urmare, colegii mei din departamentele juridice sau din firmele de avocatura nu ar trebui sa fie surprinsi ca ii invitam la evenimente legate de cloud computing.

R.R.D.A.: Cum resimtiti cadrul normativ aplicabil serviciilor cloud? Insuficient? Stimulativ? Retrograd?

C.M.: Cadrul normativ este inca neadaptat serviciilor de cloud. Chiar daca principiile care stau la baza legislatiei privind protectia datelor cu caracter personal raman aceleasi si in contextul acestor tehnologii, modul de aplicare a acestor principii nu mai poate fi la fel. Un prim pas in adaptarea acestui cadru normativ il pot face autoritatile de reglementare prin emiterea de ghiduri care sa indrume utilizatorii de cloud cu privire la modul in care sa isi selecteze furnizorul de cloud si sa respecte propriile obligatii in calitate de operatori de date.

Cred ca este nevoie de mai multa flexibilitate si de agilitate din partea autoritatilor in aplicarea cadrului normativ existent, fara a renunta la standardul de protectie prevazut de lege. Autoritatile pot face asta printr-o mai buna intelegere a specificului si limitarilor inerente tehnologiei cloud, aratand in acelasi timp deschidere in a identifica, prin dialog deschis si continuu cu furnizorii de tehnologie, solutii practice care sa permita atat adoptarea de tehnologii performante, cat si respectarea principiilor de protectie a vietii private si a standardelor de securitate, mai ridicate in anumite domenii.

R.R.D.A.: Puteti sa ne spuneti care sunt, in opinia dvs. cele mai sensibile aspecte?

C.M.: Cu titlu de exemplu, unul dintre aspectele care necesita o abordare diferita in contextul cloud este dreptul de auditare din partea clientului acestor servicii (acest drept este, de exemplu, reglementat in legislatia bancara). Este greu de imaginat ca un furnizor de cloud poate permite sutelor de mii de clienti auditarea sistemelor si proceselor sale de catre fiecare din clienti sau auditorii lor, acest lucru nu este fezabil si vine chiar in contradictie cu ideea de securitate. Dar solutii exista: asumarea de catre furnizorul de cloud a obligatiei de a realiza audit-uri independente periodice, pe baza unor standarde agreate cu clientii sai, si punerea la dispozitia clientilor a rapoartelor de audit poate fi o astfel de solutie.

Revenind la cadrul legislativ, un pas foarte important in recunoasterea specificului tehnologiei cloud si ajustarea modului de aplicare a principiilor de protectie a datelor l-a constituit Opinia cu privire la Cloud Computing a Grupului de Lucru Art 29 din iulie 2012[2]. De asemenea, autoritati ale statelor europene au emis o serie de ghiduri privind cloud computing[3]. Am fost placut impresionati de deschiderea aratata recent de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) din Romania la dialogul cu industria. Discutam chiar ideea de pregatire a unui astfel de ghid. Ar fi un mare pas inainte si ar oferi mai mult confort companiilor din Romania sa considere serviciile de cloud.

Pe termen lung, este evidenta necesitatea de reformare a cadrului legislativ. Organizatiile de tehnologie a informatiei sustin adoptarea unui cadru unitar de reglementare la nivelul UE si saluta initierea unui regulament UE privind protectia datelor. Pentru a permite inovatia este, insa, nevoie de o schimbare de abordare care, din pacate, nu este inca suficient reflectata in proiectul de regulament: ar fi mult mai eficienta inlocuirea abordarii „dictatoriale” (care impune notificari si autorizari prealabile, restrictii la transfer) cu o abordare bazata pe raspundere (termenul in engleza „accountability” este mai sugestiv). O astfel de filosofie ar incuraja companiile de tehnologie sa adopte bune practici si programe mai solide de protectie a datelor inca din etapa de concepere a tehnologiei, fara sa mai fie nevoie de o limitare a transferului de date in cloud.

De exemplu, Microsoft aplica acelasi nivel ridicat de protectie si securitate indiferent ca datele sunt stocate in Europa, SUA sau India. Daca in Europa ar exista un ghid de bune practici sau un set de standarde general acceptate la care sa ne raportam in evaluarea nivelului de protectie aplicat de un furnizor de cloud, devine irelevant unde circula datele si, prin urmare, obtinerea aprobarii sau, dupa caz, notificarea transferului de date de catre clientii nostri in fiecare dintre tarile unde se afla acestia devine o formalitate superflua.

R.R.D.A.: In privinta securizarii accesului la date (care poate fi necesar pentru indeplinirea unor obligatii juridice ce pot decurge, spre exemplu din indatorirea de confidentialitate ori din protectia datelor personale) tehnologia cloud este ori nu mai vulnerabila decat tehnologiile traditionale?

C.M.: Daca vorbim de securitatea datelor in cloud, trebuie sa distingem intre mai multe aspecte. Securitatea fizica si logica a datelor, inclusiv protectia impotriva malware, asigurata de furnizorii de cloud este de multe ori la un nivel mai ridicat decat isi permit cele mai multe dintre companii, in special cele din zona intreprinderilor mici si mijlocii. De altfel, sistemul de securitate al tehnologiei cloud este unul din motivele principale pentru care companiile aleg cloud, avand posibilitatea sa aiba acces in timp real si la un cost rezonabil la cele mai noi tehnologii si la beneficiile investitiilor enorme pe care marile companii IT le fac in sistemele lor de securitate.

Daca ne raportam la accesul autoritatilor la datele clientilor stocate in cloud, este evident ca orice furnizor de cloud va trebui sa se supuna legii aplicabile. Din aceasta perspectiva, existenta unor conventii internationale care sa reglementeze principii reciproc aplicabile in cooperarea intre guverne este o necesitate. Microsoft se implica activ in acest domeniu, un exemplu fiind proiectul denumit Global Government Surveillance Reform initiat alaturi de alti mari furnizori de tehnologie[4].

Pana la clarificarea acestor aspecte la nivel de guverne, insa, Microsoft adopta principii clare si transparente cu privire la accesul autoritatilor la date: garantam prin contract clientilor nostri ca nu vom da acces la datele clientilor decat daca suntem obligati prin lege; analizam fiecare solicitare si daca stabilim ca nu indeplineste conditiile legale, o respingem. De asemenea, publicam rapoarte cu privire la cereri de acces la date primite din partea autoritatilor[5]. Rapoartele de pe ultimii doi ani demonstreaza ca procentul cazurilor in care am dezvaluit continutul datelor clientilor (raportat la toate serviciile noastre, atat cele adresate consumatorilor, cum ar fi Skype, cat si intreprinderilor) se situeaza in jur de 2-3% din totalul solicitarilor autoritatilor. Pentru a dezvalui continutul datelor, este intotdeauna nevoie de un ordin judecatoresc sau mandat[6].

Cred ca toti furnizorii seriosi de tehnologie sunt constienti ca increderea clientilor lor este fundamentul unei relatii de lunga durata. Prin urmare, facem toate eforturile pentru a o castiga si a o mentine.

R.R.D.A.: Credeti ca legiuitorul ar trebui sa intervina suplimentar pentru consolidarea securitatii datelor stocate in cloud sau concurenta libera ii va determina pe furnizori sa sporeasca inclusiv sub acest aspect securitatea produselor lor?

C.M.: Cred ca e nevoie de o abordare combinata. Dupa cum spuneam mai sus, introducerea unui sistem bazat pe responsabilizarea clientilor si furnizorilor de cloud va conduce la stimularea furnizorilor de tehnologie de a adopta cele mai bune practici. Emiterea unor ghiduri care sa ajute clientii de cloud in alegerea unor furnizori de cloud de incredere, va deschide calea spre o concurenta bazata pe calitatea si securitatea tehnologiei. Cred ca adoptarea noilor tehnologii nu poate fi evitata.

Daca implementarea legislatiei existente nu este adaptata pentru a se adresa specificului noilor tehnologii, companiile vor oscila intre a le adopta fara sa tina cont de principiile minime de protectie, dat fiind ca nu stiu cum sa aplice legea, sau a nu le adopta, cu riscul de a deveni necompetitivi pe o piata in continua miscare, unde accesul la tehnologii noi de comunicare si productivitate devine esential.

R.R.D.A.: Apreciati ca autoritatile de reglementare din Romania si-au indeplinit in mod satisfacator indatoririle legate de dezvoltarea serviciilor de cloud?

C.M.: Directia abordata in ultimul an de autoritate (si ma refer aici la ANSPDCP) este de natura pare sa incurajeze ideea de parteneriat cu industria pentru accelerarea adaptarii cadrului legislativ. Participarea ANSPDCP in evenimente dedicate organizate de industrie este un semn extrem de imbucurator. Deschiderea spre dialog cu reprezentantii companiilor de tehnologie si cu publicul in general este binevenita si este un beneficiu reciproc, autoritatea avand posibilitatea sa inteleaga mai bine noile tehnologii si sa gaseasca solutii in limitele legii care sa permita companiilor sa adopte aceste noi tehnologii in conditii de respectare a legii.

Urmatorul pas este, dupa cum spuneam, colaborarea intre autoritati si industrie la elaborarea unui ghid cu privire la cloud computing. Desigur, aceasta colaborare nu se poate limita la ANSPDCP, ci ar trebui extinsa la alte autoritati de reglementare, precum Banca Nationala a Romaniei si Autoritatea de Supraveghere Financiara. O viziune unitara la nivelul autoritatilor de reglementare ar fi un beneficiu semnificativ pentru companiile dornice sa acceseze noile tehnologii.

R.R.D.A.: Multumim, stimata doamna pentru explicatii, va dorim succes in demersurile pe care le intreprindeti si va invitam ca si in viitor sa ne oferiti informatii despre acest domeniu nou si novator, care, ca orice inovatie are impact si in plan juridic.

C.M.: Cu mare placere si apreciem initiativa dvs. de a aduce domeniul juridic mai aproape de tehnologie.

Articol publicat in Revista Romana de Drept al Afacerilor nr. 8 / 2014.

[1] Mai multe detalii asupra rezultatelor acestui studiu pot fi gasite aici: http://www.microsoft.com/ro-ro/news/impactul-tehnologiilor-it-moderne-in-firmele-romanesti.aspx
[2] Opinia nr. 5/2012 cu privire la Cloud Computing emisa la 1 iulie 2012 de Grupul de Lucru Art. 29: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf
[3] Cu titlu de exemplu, a se vedea ghidul emis de autoritatea de protectie a datelor din Franta: http://www.cnil.fr/fileadmin/documents/en/Recommendations_for_companies_planning_to_use_Cloud_computing_services.pdf, precum si cel din UK: http://ico.org.uk/for_organisations/data_protection/topic_guides/online/~/media/documents/library/Data_Protection/Practical_application/cloud_computing_guidance_for_organisations.ashx
[4] Global Government Surveillance Reform este un apel deschis adresat de mari companii de tehnologie tuturor guvernelor pentru o reforma a sistemului legislativ privind accesul la date, care sa fie bazata pe 5 principii: 1) limitarea accesului guvernelor de a colecta date; 2) monitorizarea accesului agentiilor guvernamentale prin organe judiciare independente; 3) transparenta cu privire la solicitarile de date; 4) respectarea circulatiei libere a informatiei; 5) evitarea conflictului de legi si crearea unui cadru de cooperare extrateritoriala mai robust, adecvat si transparent. Pentru detalii a se vedea: https://www.reformgovernmentsurveillance.com/
[5] Aceste rapoarte pot fi consultate la adresa: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
[6] Pentru detalii cu privire la modul in care Microsoft raspunde solicitarilor autoritatilor de acces la date: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/