INE, Censos e Cloudflare. Uma história de proteção de dados baralhada por teorias da conspiração – Renascença

As autoridades norte-americanas podem aceder aos dados dos Censos?

Um dos pontos a gerar mais confusão, após a decisão da CNPD, foi a afirmação, por parte do regulador português, de que “não há qualquer garantia que os dados pessoais dos cidadãos residentes em Portugal, recolhidos pelo INE através do seu website, no âmbito do Censos 2021, não sejam acedidos pelas autoridades dos EUA, por intermédio da Cloudflare devido aos serviços por esta prestados ao INE e que implicam, conforme contrato firmado, a transferência desses dados pessoais para os EUA”.

Esta afirmação levou o INE e a Cloudflare a afirmar que nunca houve transferência de dados dos Censos para os Estados Unidos. Numa declaração escrita enviada à Renascença, a Cloudflare reafirma que “não houve transferência de dados de recenseamento para os EUA” e acusa a CNPD de, na sua deliberação, “não refletir com exatidão o serviço que prestamos”.

A CNPD assumiu, desde o início, que poderá nunca ter existido essa transferência – mas tendo em conta o contrato assinado pelo INE a subscrever os serviços da norte-americana, esse risco existia. Por isso, ordenou a suspensão dessa transferência de dados. O resultado? O INE decidiu suspender o contrato com a empresa norte-americana.

Mas se a Cloudflare não armazena os dados das respostas dos portugueses aos Censos, como poderia o governo norte-americano ter acesso a eles?

A única maneira, segundo Nuno Loureiro, especialista em cibersegurança, seria se a Cloudflare fosse mandatada pelo governo dos Estados Unidos para intercetar comunicações com o Instituto Nacional de Estatística português, em tempo real.

“Não estamos a falar de eles armazenarem dados e depois o governo vir à posteriori pedir estes dados, estamos a falar para o futuro. Teria de haver, obviamente, um fundamento legal do lado dos Estados Unidos para o fazer”, explica o especialista.

Ao jornal Público, a Cloudflare garantiu mesmo ao que nunca recebeu um pedido do género do governo do seu país.

“A Cloudflare nunca forneceu acesso ao conteúdo que transita na sua rede em resposta a um pedido do Governo. Se recebêssemos tal pedido, combatê-lo-íamos em tribunal e indicaríamos publicamente qualquer divulgação que fôssemos obrigados a fazer”, afirmou a empresa, segundo o jornal.

No entanto, o contrato assinado pelo INE com a Cloudflare diz o contrário, aponta a CNPD na deliberação divulgada na terça-feira.

No ponto 7 de uma adenda sobre processamento de dados feita ao contrato original, a Cloudflare assume que, no seu papel de subcontratante, poderá ser objeto de pedidos de acesso a dados pessoais, por parte de terceiros no âmbito de procedimentos legais, que possam ser “inconsistentes” com a lei aplicável ao seu cliente, ou seja, o RGPD. Nesse caso, existindo conflito de leis, a Cloudflare declara que informará de imediato o cliente, “a menos que tal notificação seja legalmente proibida”.

Ora, a legislação dos EUA impede as empresas norte-americanas de informarem os seus clientes do acesso realizado pelas autoridades para fins de recolha de informação sobre estrangeiros, no contexto da atividade de segurança nacional, como notou o Tribunal de Justiça da União Europeia na análise ao caso “Schrems II” – acórdão que esteve na base desta decisão do regulador português.

A Renascença pediu uma entrevista ao INE, mas até ao fecho desta edição, não foi possível agendá-la.

Se a CNPD considera a Cloudflare um problema, então “temos de questionar muitas outras coisas”

Nuno Loureiro considera que a polémica com o contrato entre a Cloudflare e o INE “está no campo da política e não da cibersegurança”.

“Do ponto de vista técnico, eu acho que não há aqui qualquer tema, a Cloudflare é uma empresa de segurança bem competente nessa área, com bastantes recursos e bastante bons tecnicamente, e prestam um serviço, como prestam outras empresas”, considera.

Aliás, a empresa que Nuno gere, a Probe.ly, utiliza os serviços da Cloudflare nas suas páginas.

Ainda assim, Nuno considera que, se a CNPD considera o serviço da Cloudflare um problema, por usar servidores nos Estados Unidos, então “temos de questionar muitas outras coisas”.

Como o facto de ser uma empresa norte-americana a fazer um um dos sistemas operativos mais utilizados, o Windows, ou Apple no caso do MacOS. Ou o facto de “uma grande percentagem da População usar telefones Android, que é dominado pela Google, ou iPhones, dominados pela Apple”.

Na opinião de Nuno, o INE fez bem em contratar a Cloudflare para prestar este serviço, como outros sites de entidades públicas contratam outros serviços semelhantes.

Por exemplo, o portal das Finanças, onde milhões de portugueses colocam as suas declarações de IRS, usa os serviços da Akamai, uma concorrente da Cloudflare, também norte-americana. O facto foi notado por João Pina, criador de projetos como o Fogos.pt e o VOSTPT.

Na sua página do Twitter, o programador lançou publicações sobre vários sites de entidades estatais a usar serviços de empresas norte-americanas que transferem dados para os Estados Unidos, nomeadamente o portal e-Portugal, o portal da transparência ou o portal das eleições, gerido pelo Ministério da Administração Interna.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *