O Instituto Nacional de Estatística (INE) suspendeu o contrato que tinha com a Cloudflare, a empresa responsável pela segurança do site utilizado para as respostas dos Censos 2021. Em comunicado, o INE justifica a decisão por ter sido “confrontado nos últimos dias com informação que questiona a segurança do site”, depois de uma publicação no Facebook, que o Observador desmentiu, na qual era alegado que a operação dos Censos é “inconstitucional” e serve para espiar os cidadãos. Além disso, refere que a Comissão Nacional de  Proteção de Dados (CNPD), a 26 de abril, “suscitou dúvidas relativamente ao enquadramento jurídico da subscrição de serviços de desempenho e segurança no âmbito da operação censitária com a empresa Cloudflare”, optando o INE “por suspender totalmente a subscrição destes serviços para que não subsistam quaisquer dúvidas no âmbito da segurança da informação”. A CNPD, no entanto, diz que o INE não tomou nenhuma decisão, tendo sido ordenado suspender o contrato com a Cloudflare.

O INE mantém e afirma que a sua abordagem respeita os requisitos de segurança e constitui a melhor opção para o sucesso da operação em tempo útil, desempenho dos serviços e face às ameaças globais expectáveis. A plataforma de recolha dos Censos 2021 é segura, assim como as  restantes opções tecnológicas do mesmo âmbito em toda a atividade do INE”, diz o INE.

Fact Check. Os Censos são inconstitucionais e fazem “espionagem”?

PUB • CONTINUE A LER A SEGUIR

Segundo o INE, “o resultado desta ação não irá afetar a segurança do site do Censos 2021, continuando a ser assegurada a total proteção dos dados pessoais”. Porém, por já não contar com os serviços da Cloudflare, “poderá ocorrer uma diminuição da rapidez de acesso ao site de recolha dos Censos”. Mesmo assim, o instituto apela a que os cidadãos respondam aos Censos através deste modo — “a resposta pela internet” — por ser a forma “mais adequada, em particular face ao momento que estamos a viver de saúde pública”.

A 19 de abril, uma utilizadora do Facebook que se identificava como Júlia Machado, fez uma publicação na qual alegava que a operação Censos 2021 é uma “Golpada/Espionagem”. Na publicação falsa — o perfil que originou esta publicação citava autores que não podem ser identificados, e a própria conta parece ser falsa, podendo ter sido criada com o propósito de espalhar notícias falsas ou conteúdos com discurso inflamatório –, entre outras alegações, afirmava-se que a Cloudflare tem como propósito roubar os dados dos cidadãos. Ao Observador, tanto o INE como a Cloudflare desmentiram estas afirmações.

As opções tecnológicas de segurança da informação na recolha de dados no site dos Censos 2021 foram auditadas pelo Gabinete Nacional de Segurança (GMS)/Centro Nacional de Cibersegurança (CNCS)”, diz o INE em comunicado.

Como explicou o INE, “não há alojamento de dados fora do INE, quer em geral, quer no caso dos Censos em particular”. Além disso, na semana passada, o instituto disse que “a Cloudflare presta ao INE apenas serviços de desempenho e segurança”, salientando que “não presta serviços de alojamento“. “Não há alojamento de dados fora do INE, quer em geral, quer no caso dos Censos em particular”, reiterou o INE.

Também em resposta ao Observador, a Cloudflare disse que “nem sabe onde é que o INE guarda os dados” e afirmou que apenas tem trabalhado para garantir que a plataforma não é atacada por piratas informáticos. “Somos uma empresa de cibersegurança”, explicou uma fonte oficial da empresa. A Cloudflare referiu ainda que tem todo o hardware necessário para as suas operações em Portugal, para poder fornecer este serviço, porque essa é a sua prática comum. “Temos de ter os nossos serviços perto dos nossos clientes”, adiantou a empresa.

CNPD desmente INE e diz que Cloudflare envia dados para os EUA

Num comunicado divulgado esta noite, a CNPD anunciou que “ordenou ao INE a suspensão do envio de dados dos Censos para os EUA”. Com estas palavras, a CNPD contradiz o INE, e vai mais longe: “A CNPD emitiu hoje uma deliberação dirigida ao INE para que este suspenda no prazo de 12 horas qualquer transferência internacional de dados pessoais para os EUA ou outros países terceiros sem nível de proteção adequado, no âmbito dos inquéritos do Censos 2021″. Ou seja, a decisão de suspender o contrato poderá não ter sido do INE, como disse o instituto, mas sim resposta a uma ordem da CNPD.

A CNPD afirma que “procedeu a uma rápida investigação, tendo concluído que o INE recorreu à empresa Cloudflare, Inc. para a operacionalização do inquérito censitário, que prevê no seu contrato a transferência de dados pessoais para os EUA”. De acordo com esta entidade, esta empresa “pelo tipo de serviços que fornece, está diretamente sujeita à legislação norte-americana de vigilância para fins de segurança nacional, a qual lhe impõe a obrigação legal de dar acesso irrestrito às autoridades dos EUA aos dados pessoais que tenha na sua posse ou à sua guarda ou custódia, sem que possa disso dar conhecimento aos seus clientes.

Atendendo a que estão em causa dados pessoais de um universo quase total dos cidadãos residentes em território nacional, incluindo dados sensíveis como os relativos à religião ou à condição de saúde, a CNPD entendeu ser de suspender com efeito quase imediato a transferência de dados para os EUA ou para qualquer outro país terceiro sem proteção adequada”, refere a CNPD.

Para sustentar esta afirmação, a CNPD cita o acórdão Schrems II, proferido pelo Tribunal de Justiça da União Europeia. Este caso surgiu com uma queixa do ativista Maximillian Schrems, que alegou que o Facebook Irlanda transferiu indevidamente dados pessoais seus para o Facebook Inc., nos EUA. Por isso, o tribunal decidiu que há “uma ingerência desproporcional nos direitos fundamentais dos titulares dos dados, à luz do Direito da União, não assegurando, por isso, um nível de proteção de dados essencialmente equivalente ao garantido na UE”, explica a CNPD.

O Tribunal considerou ainda que as autoridades de proteção de dados estão obrigadas a suspender ou a proibir transferências de dados, mesmo quando assentes em contratos baseados no modelo aprovado pela Comissão Europeia, como é o caso das cláusulas subscritas pelo INE, se não houver garantias que estas possam ser respeitadas no país terceiro”, diz a CNPD.

“A CNPD entendeu ser de suspender com efeito quase imediato a transferência de dados para os EUA ou para qualquer outro país terceiro sem proteção adequada”, disse ainda a Comissão. De acordo com o INE, já foram obtidas respostas de 6,5 milhões de pessoas no âmbito dos censos. “A recolha de dados pessoais iniciou-se há 8 dias e está prevista terminar no dia 3 de maio”, diz a CNPD.

*Notícia atualizada às 23h58 com informação da CNPD.