O Dr. Thomas Talhofer é sócio da Noerr e co-chefe de práticas de negócios digitais. Thomas é especializado em questões legais de digitalização econômica, projetos complexos de TI nacionais e internacionais, projetos de nuvem e propostas de projetos legais em programas de terceirização de TI. Ele também se concentra em transações corporativas em tecnologia, resolução de disputas de TI e litígios, bem como licenças de software e leis de proteção de dados. Além de seu extenso trabalho prático, Thomas escreve artigos regularmente. Ele é membro do Conselho de Administração da Associação ITechLaw, co-presidente do Comitê de Resolução de Disputas da Associação Alemã de Direito e Informática e co-presidente do Comitê de Outsourcing e membro da Associação Alemã de Advogados (Grupo de Trabalho de Tecnologia da Informação). Thomas também leciona no curso de Especialista em Certificação de Direito de TI e é professor de Direito de TI na Universidade de Munique. Thomas ficou em sexto lugar entre os líderes de pensamento jurídico de TI em The Masters e foi recomendado como o principal especialista em direito de TI pelo Juventus Handbook, Chambers Europe e German Law 500. TMT e os melhores advogados da Alemanha.
O Dr. Torsten Kraul é o co-diretor da prática de negócios digitais da Noerr. Ele fornece assessoria jurídica e estratégica a empresas multinacionais, nacionais e emergentes para desenvolver e implementar projetos nas áreas de negócios digitais, tecnologia da informação, Internet e comércio eletrônico e privacidade. Uma de suas áreas de especialização é a implementação de modelos de negócios digitais inovadores e a aplicação de novas tecnologias (IoT, inteligência artificial, plataformas, aplicativos, cadeias de blocos e big data, etc.).
1 Quais são as principais características das principais leis e regulamentos que regem a transformação digital em sua jurisdição?
A Alemanha não possui regulamentos abrangentes sobre questões digitais. Pelo contrário, os princípios gerais da lei atual aplicam-se, embora os aspectos específicos estejam cada vez mais sujeitos à legislação. Muitos desses desenvolvimentos são formados por regulamentações e diretrizes européias. As principais fontes de direito civil, incluindo a responsabilidade geral e os princípios contratuais, ainda são o Código Civil Alemão, que remonta a 1900. Desde 2002, as regras de proteção ao consumidor para contratos on-line foram incluídas. Outras leis importantes sobre transformação digital incluem a Lei de Direitos Autorais e a Lei de Mídia Remota, que incorpora as principais características da Diretiva 2000/31/EC (Diretiva de Comércio Eletrônico), como o princípio do país de origem e a responsabilidade de mitigar os provedores de Internet. Recentemente, a Alemanha promulgou leis importantes para enfrentar os desafios da era digital. Estes incluem, inter alia, a Lei de Segurança da Tecnologia da Informação de 2015 (ITSA), que foi atualizada em 2021 para fortalecer a Administração Nacional de Segurança Cibernética e, claro, a legislação para o Regulamento Europeu de Proteção de Dados Gerais (GDPR). A ITSA é um desenvolvimento importante no campo da transformação digital, pois estabelece padrões de segurança cibernética e estabelece a obrigação de relatar incidentes de segurança de tecnologia da informação. Como parte da ITSA, a Lei do Escritório Federal de Segurança da Informação da Alemanha abrange os principais operadores de infraestrutura em áreas como energia; Tecnologia da informação; Telecomunicações Transporte e transporte, bem como provedores de serviços digitais. Esses destinatários são obrigados a tomar precauções organizacionais e técnicas apropriadas para evitar interrupções em seus sistemas de tecnologia da informação. A Agência Federal Alemã de Segurança da Informação (GFOIS) monitora o cumprimento das obrigações sob o Acordo de Segurança da Tecnologia da Informação. Por outro lado, o "GDPR" fornece uma estrutura legal para o uso de dados pessoais com o objetivo de garantir a proteção e a segurança dos dados. Como um regulamento europeu, o GDPR é diretamente aplicável dentro da jurisdição alemã. No entanto, a Alemanha implementou o GDPR na nova versão do German Data Protection Act (GDPA), incluindo alguns detalhes alemães permitidos pelo GDPR. O princípio típico de GDPR e GDPA é que o processamento de dados é sempre permitido por lei, o que significa que o processamento de dados é proibido a menos que seja permitido pelo consentimento ou regulamentos.
2 Quais são os desenvolvimentos mais notáveis que afetam os planos e projetos de transformação digital da organização dentro de sua jurisdição, incluindo quaisquer políticas governamentais ou iniciativas regulatórias?A fim de fortalecer a segurança cibernética, o governo tomou uma iniciativa para alterar o Acordo de Tecnologia da Informação e Comunicação para expandir, inter alia, o poder dos sistemas globais de informação e comunicação. A iniciativa levou ao novo Acordo de Segurança da Tecnologia da Informação 2.0, que inclui empresas com interesses públicos especiais no âmbito dos acordos de segurança da tecnologia da informação, ampliando ainda mais a aplicabilidade destes regulamentos, o que significa que estas empresas estão agora sujeitas a padrões mais elevados de segurança da tecnologia da informação e obrigações de notificação. Como acabou de ser aprovado há alguns meses, não é possível fazer uma avaliação conclusiva. De acordo com a Directiva 2019/770/UE (Directiva de Conteúdo Digital e Serviços Digitais) adoptada pela União Europeia em Maio de 2019, a lei contratual contida no CCG será grandemente alterada a partir de 1 de Janeiro de 2022. Devido à implementação, a lei alemã primeiro especificará o contrato para o fornecimento de conteúdo e serviços digitais. Dada a ampla aplicação da diretiva, essa nova lei contratual abrangerá projetos que vão desde conteúdo de mídia até software, incluindo modelos de vendas, leasing e serviços, bem como serviços e plataformas em nuvem, como Facebook, Aibi Yingying e Uber. As principais disposições da diretiva referem-se a padrões uniformes para defeitos, incluindo direitos do cliente. No entanto, o escopo da diretiva é limitado à relação B2C entre os consumidores que pagam preços, e o governo alemão não estendeu a nova lei ao relacionamento B2B ao implementar a diretiva. No entanto, se os consumidores fornecerem dados pessoais e fizerem "pagamentos", os serviços não pagos serão regulados por lei.
3 Quais são os principais fatores legais e práticos que as organizações devem considerar para uma estratégia bem-sucedida de nuvem e data center?À medida que os fornecedores expandem seus serviços altamente personalizados, flexíveis e escalonáveis, a terceirização de nuvem e data center oferece uma oportunidade importante para os clientes economizarem recursos técnicos e financeiros. No entanto, essa terceirização envolve vários desafios legais e práticos. As questões de TI e segurança de dados são um fator determinante na terceirização de nuvem e um problema associado à terceirização de nuvem. Embora o processamento de dados seja controlado por um provedor de TI externo, resultando em uma operação fora de controle, os provedores maiores geralmente são mais qualificados e recursos do que os departamentos de TI internos na mitigação de ameaças de segurança. No nível técnico, a integração e compatibilidade com outras nuvens e sistemas em departamentos de TI internos de fornecedores externos e organizações de clientes é um fator a ser considerado. Portanto, a decisão de confiar e selecionar o fornecedor externo apropriado de tecnologia da informação nos negócios deve ser cuidadosamente considerada. Do ponto de vista contratual, muitas vezes é difícil para os clientes chegarem a um acordo de proteção suficiente com um provedor de nuvem, especialmente se envolver requisitos regulatórios específicos e exigir implementação do provedor (veja abaixo). Normalmente, com base na forma de contratos anglo-americanos, os termos da nuvem são em sua maioria amigáveis ao provedor (por exemplo, em termos de padrões de serviço, níveis de serviço, garantias e requisitos de responsabilidade), e os provedores geralmente rejeitam grandes modificações devido à sua natureza padronizada. Como as empresas alemãs estão sujeitas às restrições dos termos e condições gerais alemães, mesmo no ambiente B2B, em muitos casos elas correm o risco de assumir a responsabilidade pelos clientes e, de acordo com o contrato com o provedor de nuvem, elas não têm seus próprios direitos de recurso. Portanto, para os clientes da nuvem alemã, é importante negociar os termos da nuvem com o fornecedor ou, pelo menos, examinar até que ponto esses termos são aplicáveis ao escolher a lei alemã (veja abaixo). Quando os serviços baseados em nuvem atendem ao processamento de dados no sentido GDPR, eles precisam atender aos requisitos de proteção de dados aplicáveis, e a estrutura do contrato deve determinar que o cliente controla o provedor de nuvem a esse respeito. Em geral, existem práticas estabelecidas para considerar esse processamento de dados. No entanto, depois que o Tribunal de Justiça das Comunidades Europeias determinou no caso Schrems II que o Escudo de Proteção de Privacidade UE-EUA era inválido e questionou a adequação dos termos contratuais padrão, havia incerteza quanto à transferência de dados legalmente exigidos para os Estados Unidos. Dado que a UE está negociando uma futura relação com o Reino Unido para se retirar da UE, há incertezas semelhantes na transmissão de dados para o Reino Unido.
4 Quais pontos de assinatura, tecnologias e melhores práticas devem ser compreendidos quando as organizações compram serviços de transformação digital em cada nível da "pilha" da nuvem? Como estes se desenvolveram nos últimos cinco anos e qual é a direção do progresso?
Quando se trata de transformação digital para nuvem, as organizações devem estar cientes de que a computação em nuvem geralmente envolve um grande número de subcontratados e vários locais de servidor. A esse respeito, as empresas devem assegurar que padrões claros de desempenho e controles independentes sejam estabelecidos no contrato para que possam responder às deficiências de controle e concordar com os serviços de suporte. Além disso, as organizações precisam considerar as leis aplicáveis. Se não houver uma cláusula de escolha legal no contrato, a jurisdição é determinada pelo direito internacional privado, em particular o Regulamento nº 593/2998/EC (Roma I). Assumindo que o acordo em nuvem é regido pela lei alemã, e a lei alemã é amplamente refletida nos regulamentos, este é um fator chave na compreensão e formação das regras aplicáveis para determinar o tipo de contrato relevante. Essas diferenças dependem da solução de computação em nuvem. Um contrato de nuvem pode ser um contrato de serviço, trabalho ou locação, cada um dos quais tem um impacto diferente nas regras, incluindo padrões de serviço, garantias, responsabilidades e rescisão. A complexidade adicional decorre do fato de que os contratos em nuvem geralmente consistem em vários componentes de serviço geralmente diferentes que são combinados em um único contrato. Portanto, esses contratos são geralmente considerados contratos mistos. No entanto, o mais notável é que ele pode ser derivado de uma decisão do Tribunal Federal Alemão (GFCJ) sobre a classificação de contratos de serviços de aplicação, que estipula que um contrato de serviço em nuvem deve, em princípio, ser considerado um contrato de locação. No entanto, serviços que vão além de apenas fornecer serviços em nuvem serão descritos como serviços no sentido de serviços ou contratos de trabalho. Nos últimos anos, tem havido uma tendência para os provedores de nuvem fornecerem contratos padronizados em vez de contratos de terceirização individuais para projetos. Normalmente, com base na forma de contratos no estilo anglo-americano, os termos da nuvem são em sua maioria amigáveis ao fornecedor (por exemplo, em termos de padrões de serviço, níveis de serviço, garantias e termos de responsabilidade). De acordo com os termos e condições gerais da Alemanha, se esses termos causarem "desvantagens não razoáveis" à outra parte, esses termos são geralmente considerados inválidos no todo ou em parte. While these standards always apply to German B2C customers, cloud providers may avoid the application of German law by choice of foreign jurisdiction in relation to B2B customers. However, German corporate customers often insist on German law contracts. Uma característica específica da lei geral alemã de termos e condições é que ela se aplica até mesmo ao contexto B2B, de modo que o formato padrão sob a lei alemã sempre precisa ser ajustado de acordo. Portanto, os provedores de computação em nuvem devem ter cuidado ao escolher a aplicabilidade da lei alemã como T.& A lei pode impedir a aplicação de suas disposições internacionais de várias maneiras.
5 Com base em sua experiência, quais são os argumentos típicos na discussão do contrato? Como melhor resolver esses argumentos?Com base em nossa longa experiência na negociação de contratos em nuvem (e outros terceirizados), o principal argumento é definir padrões de serviço, incluindo níveis de serviço aplicáveis e termos de garantia. Em particular, para implementar salvaguardas apropriadas para os clientes, a qualidade do serviço deve ser específica e mensurável. Portanto, quanto mais precisa for a definição das consequências legais do contrato de nível de serviço e da quebra de contrato, mais o cliente pode defender seus direitos no caso de uma interrupção. Outros aspectos importantes são o direito de rescindir. Do ponto de vista do cliente, o contrato deve estipular o direito específico de rescisão do cliente por razões forçadas. As partes definirão situações diferentes em que o cliente tem o direito de rescindir o contrato por algum motivo (por exemplo, se o provedor de serviços violar o contrato de nível de serviço ou atrasar a implementação de determinados marcos críticos). Termination must, of course, be linked to the return of all data to the customer in a suitable format, and further transition support by the cloud provider where required. Based on the lack of control over the service moved to the cloud, it is important for the customer to include monitoring and audit rights into the contractual framework. However, IT service providers are usually reluctant to allow customer audits, particularly in person at the providers’ premises. This may become a major point of contention.
6 Como a lei de segurança cibernética da sua jurisdição afeta a jornada de transformação digital da organização?Além dos requisitos de segurança sob o GDPR, a regulamentação de segurança cibernética da Alemanha também está aumentando. Embora as disposições gerais de segurança de TI se apliquem a todos os serviços de informação e comunicação comercial, os principais fornecedores de infraestrutura e organizações de certos departamentos regulamentados estão sujeitos a padrões adicionais, geralmente acompanhados de diretrizes técnicas que devem ser implementadas pelo departamento interno de TI e por provedores de serviços externos.. Sob a jurisdição da Alemanha, as organizações que operam infraestruturas críticas e provedores de serviços digitais estão sujeitas às obrigações sob o Acordo de Tecnologia da Informação (ver acima). De acordo com o Artigo 8c do AGFOIS, os provedores de serviços digitais devem adotar “medidas técnicas e organizacionais apropriadas e adequadas para gerenciar os riscos de segurança de suas redes e sistemas de informação usados para fornecer serviços digitais dentro da UE”. Além disso, devem informar imediatamente a AGF sobre quaisquer incidentes de segurança que afetem seriamente os serviços digitais que prestam na União Europeia. Os mesmos princípios se aplicam aos operadores de infraestrutura crítica. Além disso, eles devem tomar precauções organizacionais e técnicas apropriadas para evitar danos à disponibilidade, integridade, autenticidade e confidencialidade de sistemas, componentes ou processos de tecnologia da informação que determinem a funcionalidade da infraestrutura crítica em que operam. Requisitos específicos de segurança de TI se aplicam a determinados departamentos regulamentados. Se o destinatário for uma organização do setor bancário, ele deve cumprir o Artigo 25 (a) da Lei Bancária e as novas diretrizes de terceirização da Autoridade Bancária Européia. Existem requisitos semelhantes para as companhias de seguros. Entre outras coisas, isso requer que as organizações relevantes desenvolvam conceitos apropriados de emergência de tecnologia da informação. Além disso, a tecnologia da informação de bancos e seguradoras tem requisitos regulatórios especiais, que estão contidos nos "Regulamentos de Supervisão de Tecnologia da Informação Bancária" e nos "Regulamentos de Supervisão de Tecnologia da Informação do Setor de Seguros". Se uma organização faz parte do setor de energia, os requisitos específicos de segurança cibernética da Lei do Setor de Energia devem ser levados em conta, em particular o Artigo 11 da Lei do Setor de Energia. Do ponto de vista operacional, mesmo que não seja obrigatório, é uma função importante nomear um oficial de segurança de TI e fornecer ao funcionário o conhecimento apropriado e o poder necessário na transformação digital. As empresas que embarcam no caminho da transformação digital estão melhor familiarizadas com os padrões alemães do setor de segurança, como ISO/IEC 27001: Em 2013, embora eles não tivessem nenhum efeito legal direto, eles poderiam ser usados como assistência explicativa ao especificar requisitos legais indefinidos relacionados à segurança da tecnologia da informação. Além disso, no caso de um ataque cibernético, a conformidade com as normas do setor pode ser incluída em uma avaliação de se a empresa atacada ou o funcionário pessoalmente responsável está em falta. Até agora, a lei forneceu poucas especificações para a segurança de TI na transformação digital. No entanto, as normas minoritárias existentes devem ser observadas a todo custo para poder se desculpar com a parte lesada quando a infraestrutura digital é hackeada ou outra.
7 Como as leis de proteção de dados em sua jurisdição afetam as organizações quando elas são digitalizadas?A Lei de Relações Públicas da Alemanha (e a Lei de Relações Públicas da Alemanha, que é a lei de execução alemã) estabelecem os regulamentos básicos para a proteção de dados de acordo com a lei alemã. Embora seu princípio estrito, ou seja, todo processamento de dados requer justificativa, a fim de proteger os direitos individuais, as empresas orientadas por dados são limitadas em alguns aspectos, mas a lei alemã não restringe especificamente o livre fluxo de dados. Tradicionalmente, a Alemanha atribui grande importância à proteção de dados. No entanto, a implementação do GDPR reforçou o foco das empresas alemãs e de outras organizações na proteção de dados, especialmente devido a uma multa de até 4% da receita de até 20 milhões de euros ou empresas (ou grupos de empresas, conforme o caso), de acordo com o Artigo 83 do GDPR. Mais notavelmente, espera-se que o “GDPR” faça um trabalho de registro considerável, já que todas as empresas que lidam com dados pessoais devem estabelecer um registro separado de atividades de processamento de acordo com o Artigo 30 do “GDPR” e cumprir as obrigações de informação estabelecidas nos Artigos 13 e 14 do “GDPR”.
8 Do ponto de vista legal, o que as organizações dentro de sua jurisdição precisam fazer para transferir o desenvolvimento de software de cascatas (tradicionais) para DevOps (entrega contínua)?Embora a organização de desenvolvimento interno tenha sido fundamentalmente reorganizada com a implementação de novas estruturas e métodos de trabalho, do ponto de vista legal, a maioria dos provedores externos observou mudanças no desenvolvimento. O desenvolvimento ágil de software e, mais importante, a entrega contínua significa que a revisão contínua também deve ser acompanhada por aconselhamento jurídico contínuo. Uma das principais vantagens do desenvolvimento ágil é que os clientes não estão sujeitos a longos ciclos de entrega. Nesse caso, o cliente recebe um produto flexível em um curto período de tempo. No entanto, o uso de soluções ágeis de desenvolvimento de software pode levar a riscos significativos, e os clientes são críticos para a aplicação bem-sucedida de métodos ágeis de projeto, pois os clientes precisam participar do processo de desenvolvimento. Além disso, o estabelecimento de uma abordagem de desenvolvimento ágil levou a uma enorme mudança no design de contratos. Tradicionalmente, os protocolos de desenvolvimento baseados em cascata podem ser usados como contratos de trabalho para proteger os clientes, pois permitem que os clientes exijam que os provedores sejam responsáveis por resultados concluídos e mensuráveis, geralmente a preços fixos. Por outro lado, o desenvolvimento ágil e o DevOps são baseados em sprints ou fases, que, por definição, não são para produtos acabados. Os respectivos contratos são mais semelhantes aos contratos de serviço e, no contrato de serviço, o provedor deve tempo e habilidades em vez de resultados específicos. Portanto, é mais difícil determinar as garantias, responsabilidades e conformidade orçamentária do provedor de serviços de TI em tais contratos. No entanto, dependendo do processo e das necessidades reais do cliente, os contratos também podem ser personalizados para desenvolvimento ágil e DevOps para incluir elementos baseados em resultados, especialmente garantias aceitáveis e baseadas em resultados.
9 O que constitui a melhor prática para uma governança eficaz e transformação digital dentro de sua jurisdição?Muitas empresas alemãs estabeleceram novas estruturas e unidades operacionais para liderar a transformação digital, muitas vezes liderada pela nova função do Diretor Digital. No entanto, a pesquisa de conformidade Noerr sobre conformidade de negócios digitais ainda mostra que não temos consciência dos problemas de digitalização da empresa. Dentro da empresa, o conhecimento técnico relevante deve ser assegurado por meio de pessoal apropriado e a obrigação de nomear funcionários de proteção de dados deve ser claramente enfatizada. No entanto, não há melhores práticas especiais no mercado jurídico alemão. Em vez disso, a transformação digital aumentou a importância do apoio legal.
Quais aspectos e tendências você acha que são mais interessantes na transformação digital e por quê?
Vimos que a transformação digital afeta quase todas as questões jurídicas em todas as partes do negócio de nossos clientes, desde a crescente ênfase na infraestrutura de TI por meio de novos requisitos regulatórios até questões contratuais e de responsabilidade envolvidas em novas tecnologias, como análise ou plataforma de dados. Isso exige que procuremos soluções novas e inovadoras para trabalhar com nossos clientes para impulsionar a inovação e a transformação digital. Para nós, cada questão relacionada à transformação digital é uma oportunidade para encontrar a melhor solução para nossos clientes e aumentar nossa experiência nessa área. Também nos torna criativos porque muitos aspectos ainda não foram determinados pela jurisprudência alemã. Isso nos dá espaço para sugerir que nossos clientes encontrem a melhor solução e, às vezes, tenham a oportunidade de moldar as leis do futuro. Tornar-se parte dessa transformação não apenas testemunha, mas também fornece apoio legal para criar condições para uma transformação digital bem-sucedida, que é um lugar fascinante para o nosso trabalho.
Quais desafios você enfrentou como praticante neste campo? Como você lidou com esses desafios?As pessoas sempre enfrentam o desafio de trabalhar em um campo jurídico que não é totalmente regulado pelos legisladores alemães, porque o desenvolvimento digital geralmente ocorre tão rapidamente que a legislação não pode lidar com isso. Portanto, devemos sempre procurar comparabilidade em outras áreas do direito (como a lei de construção em comparação com contratos de projetos de TI) para fornecer algumas orientações sobre como a lei se desenvolve.
Quais você acha que são as qualidades e habilidades básicas dos consultores a esse respeito?Uma das qualidades básicas dos consultores nessa área de trabalho é ter conhecimentos mais profundos não apenas em questões legais, mas também em questões técnicas. Além disso, os consultores devem não apenas entender questões legais importantes de TI, mas também trabalhar em outros campos relacionados em todos os departamentos para ver a "situação geral". Mais importante ainda, os consultores no campo da tecnologia da informação devem ser capazes de responder rapidamente a desenvolvimentos em mudança para garantir que ele possa fornecer ao cliente o melhor apoio possível, mesmo quando encontrar problemas pela primeira vez.
