Censos. CNPD acusa INE de autorizar o envio de dados de seis milhões de portugueses para países que não garantem privacidade

“Depois desta deliberação, os serviços públicos e privados que operam na Internet vão ter de começar a olhar para todos os contratos [com prestadores de serviços] para confirmarem que são dadas garantias de que os dados pessoais não saem da UE. E, no caso de confirmarem que esses dados têm mesmo que sair, há jurisprudência na Europa que refere que têm de ser aplicadas medidas técnicas como a cifra ou o mascaramento dos dados”, refere Luís Neto Galvão, que trabalha na área de privacidade e tecnologias na SRS Advogados. “É provável que este caso tenha repercussão internacional, pois é uma deliberação que está relacionada com serviços de Cloud Computing [computação e armazenamento de dados distribuídos na Internet]”, acrescenta o advogado.

De 2016 a 2021 vão cinco anos. E, durante esses cinco anos, o envio de dados de cidadãos europeus para os EUA teve de recorrer às denominadas cláusulas contratuais, a fim de garantir o respeito do Regulamento Geral de Proteção de Dados (RGPD). Este expediente legal acabou por ser aplicado sem grandes sobressaltos, na sequência de o Tratado Privacy Shield, que permitia o envio de dados pessoais de forma ainda mais expedita para os EUA, ter sido considerado inválido pelo Tribunal de Justiça da UE (TJUE) em 2016. Mas, aparentemente, essas medidas de proteção da privacidade não foram devidamente acauteladas nos EUA ou noutros países em que a Cloudflare tem servidores alojados - e que eventualmente veicularam dados dos Censos 2021.

“O INE autorizou a Cloudflare INC a tratar dados pessoais fora da Zona Económica Europeia, para qualquer um dos 200 servidores por esta utilizados, bem como a transferência dos dados pessoais para os EUA”, refere a deliberação da CNPD revelada esta segunda-feira.

O documento assinado por Filipa Calvão, presidente da entidade supervisora da proteção de dados, refere ainda que o INE enveredou pela contratação dos serviços da Cloudflare, sem negociação e através do denominado pacote “Business”, que tinha por condição a aceitação dos termos do contrato “Self-Serve Subscription Agreement”. Foi a aceitação deste contrato que permitiu que 2,5 milhões de formulários com informação de seis milhões de portugueses pudessem ser, eventualmente, encaminhados para os vários servidores que a Cloudflare tem no mundo para poder garantir monitorização de ameaças e redundância de serviços, no caso de ataque ou falha.

A polémica teve início com várias queixas e, em abril de 2021, a CNPD haveria de determinar a suspensão do serviço prestado pela Cloudflare aos Censos 2021. Mas esse primeiro passo não evitou um processo de contra-ordenação.

Perante acusações e inquirições, o INE foi dando mostras de não estar disposto a aceitar um desfecho com uma possível coima. Segundo referido na deliberação da CNPD, os representantes do instituto que realizou os Censos alegou que a CNPD “não tem competência para sindicar o INE”, pois deveria ter recorrido ao Conselho Superior de Estatística.

Nas mesmas ocasiões, os representantes do INE consideraram o projeto de deliberação “nulo”, por falta indícios das infrações alegadas, e referiram que era “inadmissível” do ponto de vista jurídico, por não ter sido precedido de “advertência prévia”.

O INE reiterou ainda que cumpriu os deveres exigidos por lei no tratamento de dados e na divulgação de informação ao público e defendeu que não houve qualquer violação do regime de transferências de dados, pois “não existiu qualquer transferência de dados para Estados terceiros”.

Questionada pelo Expresso, a direção do INE, que é liderada por Francisco Lima. enviou apenas a resposta lacónica que pôs a circular durante segunda-feira: “o INE tomou conhecimento da deliberação da CNPD, não concorda com a decisão e está a preparar o recurso de impugnação judicial”.

Na deliberação, a CNPD rebateu as objeções do INE – mas só o tribunal acabará por escrever o capítulo final deste “caso”. Os estados de direito preveem o recurso à justiça para retificar decisões de supervisores ou reguladores que venham a ser consideradas abusivas. Neto Galvão recorda que, em tese, este recurso ao tribunal tanto pode vir a reduzir, como a confirmar ou, até, a agravar as coimas.

Por seu turno, Jorge Martins, responsável pelo Departamento de Tecnologias da CS Advogados, admite que boa parte daquilo que vai sair deste processo em tribunal poderá revestir-se de prova de fogo tanto para o INE como a CNPD: “No tribunal terá de ser demonstrado que a gradação da coima está alinhada com a natureza e a extensão da infração”.

Em contrapartida, a CNPD não hesita em considerar que os serviços contratados pelo INE à Cloudflare “não cumprem os requisitos exigidos por lei em matéria de transferências de dados pessoais para países terceiros”. E essa conclusão publicada em deliberação contrasta de sobremaneira com o que a Cloudflare repetiu recentemente.

John-Graham Cumming, diretor de tecnologias da Cloudflare, referiu que o polémico tratamento de dados teve como epicentro Portugal, mas não será um exclusivo nacional, pois há vários países que já usam serviços similares. “Foi falta de compreensão e medo sobre aquilo que fazíamos. Nós não estávamos a processar os dados dos censos. Estávamos a proteger o site”, defendeu em novembro Graham-Cumming em entrevista ao “Público”.

Dificilmente estas palavras do executivo da Cloudflare terão sossegado os juristas da CNPD. Na análise ao contrato celebrado, a CNPD conclui que, em caso de conflito com a Cloudflare, o INE teria de recorrer aos tribunais e leis do Estado da Califórnia, nos EUA, e também sublinha que o envio dos dados dos clientes era definido por algoritmos.

”A partir do momento em que os dados entraram na rede da Cloudflare INC não era possível ao Arguido (o INE) saber e controlar por onde os dados pessoais dos respondentes (adultos a título individual ou familiar) circularam”, denuncia a CNPD. Entre as várias falhas alegadas pela CNPD consta ainda a inexistência de uma análise prévia do impacto do tratamento dos dados através dos serviços da Cloudflare.

“A questão vai sempre parar aos EUA e à legislação americana, que prevê alguma ingerência das agências de segurança nos serviços prestados pelas grandes marcas de tecnologias. E por isso se considera, na UE, que as empresas americanas não estão em condições de providenciar segurança para os dados dos europeus”, sublinha Jorge Martins.

A coima surge numa altura em que UE e EUA tentam finalizar um novo tratado para o envio de dados de forma expedita. E se houver uma vaga de fundo à escala europeia que afete a forma de trabalhar das grandes marcas tecnológicas americanas não será de estranhar que a coima aplicada pela CNPD produza eco durante as conversações.

Em contrapartida, a Cloudflare tem vindo a reforçar os investimentos estratégicos em Portugal. E dificilmente a coima será recebida de ânimo leve.

Inês Oliveira, presidente da Associação Portuguesa de Profissionais de Proteção e de Segurança dos Dados (APDPO), admite que a sanção possa levar mais entidades a seguirem as melhores práticas. “Cumprir as obrigações do RGPD não é só uma questão de no futuro não ser sujeito a coimas. Estamos a falar da necessária confiança e segurança para todos os cidadãos, que é essencial”, referiu a dirigente da APDPO.

A coima de 4,3 milhões de euros fixa, provavelmente, um novo recorde nacional entre todas as deliberações que saíram no passado da CNPD. E esse dado também leva Jorge Martins a acreditar que o processo pode focar as atenções internacionais na entidade supervisora nacional: “É um caso em que a CNPD passa a atuar a um patamar de outras congéneres europeias. A partir de agora, as empresas percebem que estão em risco de coimas muito elevadas e que a CNPD não vai ter mão leve com as entidades públicas”, acrescenta Jorge Martins.