A Conferência dos Delegados de Proteção de Dados da Suíça (Privatim) emitiu uma recomendação contundente que reacendeu debates sobre a segurança de soluções em nuvem utilizadas por órgãos governamentais e entidades públicas. O órgão alerta que serviços SaaS amplamente adotados — especialmente o Microsoft 365 — não oferecem segurança adequada para armazenar dados sensíveis, devido à ausência de criptografia de ponta a ponta e ao risco de acesso de terceiros às informações.
Segundo a resolução, a maioria dos serviços SaaS permite que o próprio provedor de nuvem tenha a capacidade técnica de visualizar dados em texto claro. Isso torna essas plataformas inadequadas para o tratamento de dados protegidos por sigilo legal, documentação confidencial e operações críticas do setor público.
Falta de Criptografia de Ponta a Ponta é Principal Preocupação
O Privatim destaca que, ao contrário do que muitos usuários acreditam, serviços como o Microsoft 365 não utilizam criptografia fim a fim, o que significa que arquivos, e-mails e documentos armazenados ou processados na plataforma podem ser acessados por administradores do provedor ou até expostos em caso de incidentes de segurança.
Para órgãos públicos, essa característica representa um risco elevado, já que viola requisitos fundamentais de privacidade, confidencialidade e soberania digital.
Mudanças Unilaterais nos Termos de Uso Aumentam a Vulnerabilidade
Outro ponto crítico destacado pelo Privatim é a capacidade dos provedores de alterar termos de uso e políticas de privacidade sem necessidade de aprovação do cliente.
Para o órgão suíço, essa prática coloca governos em posição de fragilidade, já que impede que instituições públicas tenham controle efetivo sobre como seus dados são tratados, armazenados e protegidos.
A resolução afirma que tais práticas resultam em “perda significativa de controle” e fazem com que o cliente público apenas possa mitigar danos mantendo dados sensíveis sob infraestrutura própria.
Microsoft 365 Citado Nominalmente Como Inadequado
Em um raro posicionamento direto, o documento cita explicitamente o Microsoft 365 como inadequado para o setor público suíço na maioria dos casos.
A recomendação não se limita a essa solução, mas inclui qualquer serviço SaaS de grandes provedores internacionais cuja operação não ofereça:
- Criptografia ponta a ponta real
- Garantias legais e técnicas de soberania de dados
- Controle sobre acessos internos do provedor
- Transparência e estabilidade contratual
Diante da crescente dependência de serviços em nuvem, o alerta suíço reacende discussões sobre dependência tecnológica, privacidade governamental e riscos de espionagem em ambientes críticos.
O Que a Recomendação Representa Para Organizações
Embora direcionada ao setor público da Suíça, a decisão do Privatim serve como sinal de alerta global. Organizações que lidam com dados sensíveis — como hospitais, prestadores de serviços jurídicos, instituições financeiras e empresas de defesa — podem se beneficiar ao reavaliar sua dependência de SaaS tradicionais.
O posicionamento reforça a importância de:
- Realizar auditorias de risco em aplicações de nuvem
- Verificar se a criptografia é realmente ponta a ponta
- Considerar soluções on-premises ou híbridas para dados críticos
- Exigir cláusulas contratuais mais fortes sobre acesso e privacidade
Conclusão
A recomendação da autoridade suíça evidencia uma preocupação crescente: plataformas SaaS populares e convenientes podem não oferecer o nível de segurança exigido para dados altamente sensíveis. A decisão reacende debates importantes sobre soberania digital, controle de dados e a real segurança das soluções em nuvem amplamente utilizadas pelo setor público e privado.
