Quando Max Schrems, um activista da privacidade austríaco, solicitou para ver os seus dados pessoais que o Facebook guardava nos seus servidores, foi-lhe enviado um CD-ROM contendo um documento de 1.222 páginas.

Esse arquivo, que se estenderia quase um quarto de milha se fosse impresso e colocado de ponta a ponta, oferecia um vislumbre do apetite do Facebook pelos detalhes privados de seus 1,65 bilhões de usuários.

As informações incluíam números de telefone e endereços de e-mail dos amigos e familiares do Sr. Schrems; um histórico de todos os dispositivos que ele usou para entrar no serviço; todos os eventos para os quais ele tinha sido convidado; todos os que ele tinha “amigos” (e posteriormente desamparados); e um arquivo das suas mensagens privadas.

Incluiu até transcrições de mensagens que ele tinha apagado.

Mas o Sr. Schrems, que diz ter usado o Facebook apenas ocasionalmente durante um período de três anos, acredita que uma grande quantidade de informação lhe foi negada.

Ele recebeu registros de dados de cerca de 50 categorias, mas acredita que existem mais de 100, ele diz à BBC.

“Eles retiveram meus dados de reconhecimento facial, que é uma tecnologia que pode me identificar através das minhas fotos. Eles também não revelam informações de rastreamento, que são as coisas ainda mais arrepiantes que fazem – coisas como se você leu uma página da web sobre um carro esportivo e por quanto tempo a leu”

Facebook pode até mesmo rastrear o uso da internet por não-membros através do uso de cookies colocados em suas máquinas, como uma recente decisão legal na Bélgica confirmou.

A experiência do Sr. Schrems ilustra vividamente os desafios que enfrentamos em uma era digital cheia de aplicativos de mensagens, redes sociais, motores de busca personalizados, clientes de e-mail e aplicativos bancários, todos coletando dados pessoais sobre nós e armazenando-os, em algum lugar, na nuvem.

Mas onde estão todos esses dados exatamente, como eles estão sendo utilizados e quão seguros eles são?

Os Quatro Grandes

Mais da metade do armazenamento em nuvem rentável do mundo é controlada por quatro grandes corporações. A Amazon é de longe a maior, com cerca de um terço da quota de mercado e mais de 35 centros de dados em todo o mundo.

Os três maiores fornecedores seguintes são Microsoft, IBM e Google, e cada um deles adota um padrão global similar de fazendas de servidores.

Several desses grandes provedores de nuvem pública habitualmente duplicam dados de usuários em suas redes. Isso significa que as informações carregadas na nuvem, digamos, no Reino Unido ou nos EUA, provavelmente serão transferidas em algum momento para servidores nas principais cidades do mundo, de Sydney a Xangai.

O problema com isso, diz o Prof Dan Svantesson, um especialista em direito da internet na Bond University, Austrália, é que “há sempre o risco de que o país para onde seus dados vão não tenha o mesmo nível de proteção .

“Se seus dados acabarem em outro país, pode não estar claro quem tem acesso a eles, sejam provedores de rede ou policiais”, diz ele.

Benjamin Caudill, consultor de segurança cibernética do Rhino Security Labs em Seattle, também tem preocupações sobre como esses dados são distribuídos.

“Ninguém realmente sabe como a salsicha é feita”, diz o Sr. Caudill, cujo trabalho inclui testar as defesas das empresas através de “hacking ético”.

“É muito difícil entender onde os seus dados são armazenados”. Muitas vezes as próprias empresas não têm certeza onde todos os dados poderiam residir”

Ele diz que um cliente dele, que estava usando o serviço de nuvem Azure da Microsoft, foi vítima de um hack – todos os dados e back-ups foram apagados.

Mas depois de alguma escavação, verificou-se que uma parte dos dados perdidos tinha sido armazenada noutro local nos servidores do Azure. Embora isso tenha sido um alívio para o cliente do Sr. Caudill, a aparente natureza aleatória da colocação de dados nos servidores da Microsoft não o encheu de confiança.

“Ninguém sabe realmente o quão seguros os serviços na nuvem são dos grandes provedores”, diz o Sr. Caudill, que suspeita que “tanto a Amazon como o Azure tiveram grandes compromissos de segurança em algum momento”.

Violação da segurança?

Por sua vez, todos os grandes provedores públicos de nuvem dizem que a segurança é uma prioridade.

Nas instalações do servidor do Google na Carolina do Sul, por exemplo, os guardas patrulham as portas e empregam scanners biométricos de íris nas entradas do santuário interno. Feixes de laser sob o piso detectam intrusos.

Mas ninguém diria que nunca tiveram violações de segurança.

Um porta-voz da Microsoft disse à BBC: “A Microsoft tem um compromisso com o cliente para ajudar a salvaguardar os dados dos clientes e capacitá-los a tomar decisões sobre esses dados. Recomendamos aos clientes que visitem o Microsoft Trust Center para saber mais sobre como os seus dados são geridos e mantidos seguros”

Amazon sublinha que os clientes “mantêm a propriedade e o controlo do seu conteúdo”. Eles escolhem em que local armazenar seus dados e eles não se movem a menos que o cliente decida movê-los”

Esta capacidade de escolher em que região seus dados são armazenados está se mostrando cada vez mais popular entre as empresas, particularmente na União Européia, onde o novo e rigoroso Regulamento Geral de Proteção de Dados deverá entrar em vigor em 2018.

Poste por sua conta e risco

Mas nós consumidores muitas vezes não temos este luxo.

“Os dados da sua conta Gmail estão absolutamente em mais do que um servidor. É absolutamente em mais de um país”, diz o Prof. Svantesson.

Mas por que devemos nos importar?

Quanto mais dos nossos dados estão espalhados pelo mundo, mais vulneráveis são aos hackers, argumenta o Sr. Caudill – uma suposição confirmada pelo facto de que a fraude de identidade está a aumentar.

Como as pessoas continuam a carregar as suas informações digitais online, num pântano de complexidades legais territoriais e protocolos de segurança nacional não revelados, a Prof Svantesson oferece alguns conselhos práticos – que muitas pessoas ainda não seguem.

“Eu sugeriria nunca colocar nada sensível na nuvem, como informações de cartão de crédito, ou imagens pessoais que você não quer que os outros vejam.

“Algumas coisas você deve simplesmente deixar para si mesmo”, ele aconselha.

Follow Technology of Business editor @matthew_wall no Twitter

Clique aqui para mais recursos Technology of Business