“Não, não podemos enviar toda a informação para os EUA. Não é o nosso negócio.” Quem o afirma é John Graham-Cumming, diretor de tecnologia da empresa Cloudflare, numa entrevista ao Observador, a propósito da mais recente polémica com os Censos2021, que envolve o Instituto Nacional de Estatística (INE) e a Comissão Nacional de Proteção de Dados (CNPD).

Na terça-feira à noite, o INE emitiu um comunicado em que dizia que a CNPD tinha levantado “dúvidas” quanto à empresa que garantia a segurança do site, a Cloudflare, optando por cessar relações com a tecnológica. Pouco tempo depois, a CNPD esclareceu que a suspensão do contrato por parte do INE aconteceu após uma ordem expressa daquela comissão para que não houvesse qualquer transferência de dados para o exterior. Em causa, está a alegação de que a Cloudflare pode enviar dados dos Censos para os EUA e que tem de obedecer à lei americana, cedendo a informação que tiver, se assim lhe for requisitado.

Sobre isto, Graham-Cumming garante ao Observador: “Somos uma empresa de cibersegurança, a informação que têm [sobre os Censos 2021] é no vosso servidor, independentemente de onde quer que esteja”.

John Graham-Cumming, que vive em Portugal desde 2019 e, por isso, tem uma relação mais próxima com os escritórios da empresa de tecnologia em Lisboa, assumiu que ainda não sabe todos os pormenores das decisões desta terça-feira à noite. Mesmo assim, refere: “Se o INE quiser voltar para nós, temos todo o gosto em garantir que qualquer dado que passa pela nossa rede passa por Lisboa, que é o que já faríamos de qualquer forma”. Porém, menciona que tem de aceitar a decisão: “Neste momento estamos ‘oh, ok’, é uma decisão que foi tomada e temos todo o gosto em ajudar se houver algum impacto”, adianta.

De acordo com o responsável máximo de tecnologia da empresa, que responde diretamente ao presidente executivo da Cloudflare, Matthew Prince, a tecnológica não pode revelar nada sobre a relação que tinha com o INE. Apesar de assumir que a empresa da qual é responsável pode sofrer um ataque informático que compromete dados, relativiza a questão por estar “tudo encriptado”, mas isto num “plano teórico”. No final, tudo “depende de como é que o INE fez a configuração” do sistema.

Por outras palavras, a Cloudflare tem serviços que podem implicar alojamento de dados fora de Portugal, o que iria contra o Regulamento Geral sobre a Proteção de Dados. Porém, como o INE disse ao Observador na semana passada, a propósito de um fact-check sobre este mesmo tema, não foi isso que fez. John Graham-Cumming diz que quem tem de responder sobre este tema é o instituto de estatística e não a Cloudflare.

Penso que o importante que é preciso saber é que qualquer ligação que façamos está encriptada entre o cliente e o servidor. É muito difícil responder a essa questão porque preciso de ver as especificidades de cada situação”, refere Graham-Cumming quanto à plataforma dos Censos.

CNPD: “O facto de haver uma empresa estabelecida em território da UE, cuja sede está nos EUA, não quer dizer que sejam feitas transferências de dados para os EUA”

Ao Observador, a CNPD diz que “a responsabilidade por cumprir a lei em matéria de proteção de dados nos tratamentos” é do INE. “O papel da CNPD não é a de um parceiro, mas de uma autoridade de controlo”, acrescenta. Além disso, refere que o INE devia ter tido “um cuidado acrescido para garantir que todas as exigências legais eram cumpridas”, sublinhando que o instituto em questão “não submeteu nenhuma avaliação de impacto à consulta da CNPD”. Ou seja, o que está em causa é o facto de o INE não ter pedido esta avaliação de impacto à entidade reguladora dos dados.

O Observador questionou a CNPD sobre se vai tomar decisões no mesmo sentido com outras empresas dos EUA que tenham contratos com o Estado, como é o caso da Microsoft ou da Google. Não citando nenhum empresa em específico, a entidade refere que “tem, aliás, outras averiguações a decorrer relativas a situações de transferências internacionais de dados”.

Quanto à deliberação da CNPD ter sido feita após publicações no Facebook, a entidade diz que “não comenta em geral ‘posts’ das redes sociais”. Já quanto à investigação que fez para sustentar a deliberação publicada esta quarta-feira, a CNPD afirma que “não contactou a Cloudflare” em nenhum momento. E não especifica se houve contacto com o INE prévio à deliberação.

Convém esclarecer, por uma questão de rigor, que a CNPD não deu qualquer ordem de suspensão de contrato. Essa foi uma decisão do responsável pelo tratamento. A CNPD, ao abrigo dos poderes previstos no artigo 58.º, n.º 2, alínea j), do RGPD, deu uma ordem de suspensão do envio de dados do censos para países terceiros”, diz a CNPD.

O Observador tentou contactar o INE para clarificar porque foi então suspenso o contrato com a tecnológica, mas até à hora de publicação deste artigo não obteve resposta. No comunicado enviado na terça-feira à noite, o instituto disse que optou “por suspender totalmente a subscrição destes serviços para que não subsistam quaisquer dúvidas no âmbito da segurança da informação”. O Obervador também questionou o INE sobre a discrepância das afirmações relativas à possibilidade de transferência de dados para os EUA, tendo em conta o que foi deliberado pela CNPD, mas não obteve até ao momento qualquer esclarecimento.

O tema começou a ser público desde que surgiram publicações no Facebook em que se alegava que a operação dos Censos seria utilizada para “espionagem”, além de ser inconstitucional.