A Comissão Nacional de Proteção de Dados (CNPD) criticou esta quarta-feira o INE pela falta de segurança no tratamento de dados nos Censos 2021 por uma empresa estrangeira e alertou que “o quer que tenha acontecido já aconteceu”.
“O que está em causa é que os dados circularam em servidores que o Instituto Nacional de Estatística (INE) não sabe dizer quais foram e em que países estão colocados”, afirmou a presidente da CNPD, Sofia Calvão, esta quarta-feira ouvida na comissão de Assuntos Constitucionais, sobre a polémica com proteção de dados pessoais nos Censos 2021, feita, até abril, por uma empresa estrangeira a CloudFlare.
E alertou que o Regulamento Geral sobre a Proteção de Dados (RGPD) “proíbe o envio de dados pessoais para países terceiros que não tenham proteção adequada” ou que não tenham “medidas que permitam compensar a falta de regime protetor equivalente ao RGPD”, como aconteceu com a contratação da empresa CloudFlare Inc.
Na prática, afirmou, o INE “autorizou a CloudFlare a transferir dados pessoais para países terceiros, para os Estados Unidos, que a empresa subcontratasse outras empresas com servidores fora dos países da União Europeia”. “Fê-lo sem quaisquer reservas e sem salvaguardar os dados pessoais dos cidadãos”, criticou Filipa Calvão, que sublinhou que a “chave de decifragem” está “nas mãos da Cloudflare Inc”. Por duas vezes, e sem adiantar mais pormenores, a presidente da CNPD afirmou: “O quer que tenha acontecido [com os dados pessoais], já aconteceu.”
Em abril, o jornal Público noticiou que o contrato com a empresa Cloudflare, responsável pela segurança do site que recolhe as respostas aos Censos 2021, já em curso, previa a transferência de dados pessoais recolhidos para os Estados Unidos da América ou outros países. Depois de a Comissão Nacional de Proteção de Dados ter exigido a suspensão de qualquer transferência de dados pessoais, o INE informou na que suspendeu o contrato com a empresa.
Em 18 de abril, no parlamento, a ministra do Estado e da Presidência garantiu que a segurança do site dos censos não será afetada, indicando que vai continuar a ser assegurada “a total proteção de dados pessoais”.
A CNPD sublinhou que o contrato assinado entre a empresa e o INE é a “versão mais básica”, e “adequada a pequenos negócios”, com um custo de cerca de 200 dólares (equivalente a 163 euros).
O PS foi o único partido a relativizar as “reflexões” da CNPD, alegando que “não esclarece os pontos fundamentais” do problema relativamente ao qual, disse o deputado José Magalhães, a comissão procurará respostas com uma audição ao diretor do Centro Nacional de Cibersegurança, Lino Santos.
“Não deixaremos que esta matéria se discuta por achismos”, disse José Magalhães, para quem, se se levassem a sério o que “é insinuado” pela comissão, “e muito menos ainda provado”, teria “implicações devastadoras” para o país pela dúvida lançada de que, por exemplo, os servidores da CloudFlare “não são um escudo, pelo contrário, são uma ameaça a segurança nacional portuguesa”.