Está confuso com o que leu na últimas semanas sobre os Censos 2021? A polémica que se instalou nesta operação estatística envolve o Instituto Nacional de Estatística (INE), a Comissão Nacional de Proteção de Dados (CNPD) e uma empresa americana que tem operações em Portugal, a Cloudflare. Pelo meio, há um pouco de tudo: Fake News [notícias falsas], acusações de espionagem internacional, leis dos Estados Unidos da América sobre vigilância em massa e um acórdão do Tribunal de Justiça da União Europeia (TJUE) chamado “Schrems II”. Nas sete respostas abaixo, explicamos o que aconteceu e porque é que ainda pode preencher os Censos online.

É verdade que o INE estava a enviar dados dos Censos 2021 para os EUA?

A esta questão, quer o INE quer a Cloudflare [empresa que prestava serviços de segurança ao site dos Censos e que foi alvo da ação da CNPD] respondem perentoriamente que não. Dizem-no agora e já o tinham dito na semana passada, a propósito de um fact-check feito pelo Observador sobre este tema. Na verdade, parte desta polémica nasce de uma publicação de Facebook que se tornou viral e que foi considerada falsa pelo Observador. Nesta publicação, entre outros argumentos com pouca sustentação, alegava-se que, só por a Cloudflare ter sede nos EUA, o Governo norte-americano estaria a espiar os dados dos censos portugueses. Confrontadas as duas partes envolvidas, percebemos que não era bem assim.

Ao Observador, a CNPD explica: “O facto de haver uma empresa estabelecida em território da UE, cuja sede está nos EUA, não quer dizer que sejam feitas transferências de dados para os EUA“. Por outras palavras, de acordo com estas entidades, apesar de poder haver o risco de envio de dados para os EUA, isso não quer dizer que tal tenha acontecido.

Fact Check. Os Censos são inconstitucionais e fazem “espionagem”?

A CNPD assume que não questionou a Cloudflare sobre este assunto, mas realça que basta ter havido uma transferência de dados para os EUA, para que este país passasse a ter acesso aos mesmos — mesmo que a Cloudflare não o quisesse. Porquê? Lembra-se de Edward Snowden? Trata-se do antigo funcionário da Agência de Nacional de Segurança (NSA, na sigla original) dos EUA que, depois de ter revelado que o país tem programas de vigilância em massa como o PRISM, se exilou na Rússia. Ora, no caso por ele revelado, os cidadãos também não sabiam que os seus dados estavam a ser usados pelo governo norte-americano, mas, segundo o que foi alegado e revelado por Snowden, estariam mesmo.

Ex-analista dos serviços de infomações dos EUA Edward Snowden pede cidadania russa

Como explica Alexandre de Sousa Pinheiro, professor na Faculdade de Direito da Universidade de Lisboa e especialista em Proteção de Dados, o PRISM existe devido a algumas normas americanas, como a Lei de Vigilância de Inteligência Estrangeira (FISA, na sigla original) que, com uma emenda de 2007, passou a permitir — teoricamente — que os EUA acedam a dados de empresas sem terem de as informar. O jurista adianta que estas leis não são, contudo, iguais à legislação que existe na China e que permite um controlo direto dos servidores do país, apesar de reconhecer que possa ser feita uma comparação.

“Se perguntarmos se em relação à China o mesmo problema se coloca [dados vigiados], claro que coloca”, diz Sousa Pinheiro”. Agora, esse país não está numa lista de nações que, segundo a UE, protegem os dados pessoais de cidadãos e pessoas na União. Já os EUA, estariam. Isto até ao acórdão Schrems II.

Contudo, nada disto significa que foram enviados dados para os EUA. Ainda assim, e mesmo após ter emitido a deliberação para suspender o eventual envio de dados para solo norte-americano, a CNPD diz que continua a analisar este caso do Censos em Portugal.

Então, mas porque é que a CNPD ordenou ao INE a suspensão do envio de dados dos Censos para os EUA?

Na terça-feira à noite e, de surpresa (pelo menos para o INE), a Comissão Nacional de Proteção de Dados ordenava o seguinte: “Que este [INE] suspenda no prazo de 12 horas qualquer transferência internacional de dados pessoais para os EUA ou outros países terceiros sem nível de proteção adequado, no âmbito dos inquéritos do Censos 2021″, lia-se no comunicado enviado às redações.

A deliberação da entidade sobre este tema — que expõe detalhadamente os motivos da CNPD — só foi divulgada na quarta-feira, mas no comunicado conhecido no dia anterior já havia uma justificação: “No seguimento de algumas queixas sobre as condições de recolha de dados do Censos através da Internet, a CNPD procedeu a uma rápida investigação, tendo concluído que o INE recorreu à empresa Cloudflare, Inc. [empresa que prestava serviços de segurança ao site dos Censos] para a operacionalização do inquérito censitário, que prevê no seu contrato a transferência de dados pessoais para os EUA.”

INE suspende contrato com Cloudflare, a empresa que garantia a segurança dos Censos online

No mesmo documento, a CNPD deixou mais argumentos a justificar a sua ordem. “A Cloudflare detém 200 data centers [centros de dados] localizados em mais de cem países, a grande maioria dos quais não tem um nível de proteção de dados adequado, nos termos previstos no artigo 45º do RGPD [Regulamento Geral sobre a Proteção de Dados nacionais]”, refere a entidade. Ou seja, de acordo com a CNPD, o problema não é só o contrato entre o INE com a Cloudflare — que tem “cláusulas tipo” aprovadas pela Comissão Europeia –, mas também o facto de este prever eventuais transferências de dados para servidores fora da jurisdição da União Europeia.

Esta afirmação é justificada na deliberação pelo seguinte: “O nome censos2021.ine.pt está associado ao IP 172.67 .41 estando atribuído à Cloudflare. Os clientes acedem ao sítio, recorrendo ao protocolo de comunicação segura HTTPS, sendo que o certificado associado é emitido por Cloudflare, inc. ECC CA-3, uma entidade certificadora da própria Cloudflare. Deste modo, esta empresa é detentora tanto da chave privada como da chave pública”, alega a CNPD.

O regulador vai ainda mais longe e diz que “o INE admite não ter controlo sobre a transmissão da informação entre os cidadãos e o seu servidor“, admitindo que o instituto não tinha forma de saber para onde é que o tráfego dos Censos estava a ser enviado — que podia ser “para qualquer zona do globo”. A sustentar este ponto e toda a deliberação está o acórdão Schrems II, emitido pelo Tribunal de Justiça da União Europeia. Esta decisão do tribunal europeu veio afirmar que há um risco de envio de dados para os EUA.

Sobre este acórdão, Alexandre Sousa Pinheiro explica ao Observador o que está em causa: “O acórdão Schrems II não considerou que as cláusulas contratuais tipo fossem incompatíveis com o direito da União Europeia”. Porém, “atendendo à natureza da legislação dos EUA”, passou a ser necessário que cada entidade nacional faça “uma ponderação, uma espécie de micro apreciação de compatibilidade com o RGPD”, acrescenta.

“Quando há um IP situado nos EUA [como demonstra a CNPD], aquilo que me parece é que a circulação de informação está sujeita ao direito norte-americano”, diz o jurista. “Pode discutir-se evidentemente a decisão da CNPD, mas o que existe aqui como elemento fundamental é o acórdão Schrems II“. E o que diz o acórdão? Que é preciso ter atenção aos dados enviado para os EUA, mesmo que exista só o risco de isso acontecer, não sendo necessário que isso efetivamente tenha acontecido.

“Convém esclarecer, por uma questão de rigor, que a CNPD não deu qualquer ordem de suspensão de contrato. Essa foi uma decisão do responsável pelo tratamento”, justificou a comissão de proteção de dados. “A CNPD, ao abrigo dos poderes previstos no artigo 58.º, n.º 2, alínea j), do RGPD, deu uma ordem de suspensão do envio de dados do censos para países terceiros“, esclarece.

Por fim, o ponto chave. Tudo isto poderia ter sido evitado se o INE tivesse pedido à CNPD uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) relativamente ao contrato estabelecido com a Cloudfare. Este AIPD é um mecanismo preventivo de análise que podia ter evitado a suspensão do contrato com a Cloudflare. Tal não aconteceu. Ao Observador, o presidente do INE, Francisco Lima, explica que o instituto optou pelo cancelamento para evitar dúvidas. “Pensamos que desta forma fica a CNPD satisfeita com o resultado da sua ação de fiscalização e com a ação corretiva realizada pelo INE“, justifica o presidente do Instituto Nacional de Estatística.

Mas o que é que a Cloudflare faz exatamente?

A Cloudflare é uma empresa dos EUA, sediada em São Francisco, na Califórnia. Atualmente, é uma das principais empresas no mundo para serviços de tratamento de servidores. Como explicou John Graham-Cumming, diretor de tecnologia da empresa Cloudflare, numa entrevista ao Observador, a empresa faz “duas grandes” coisas: “Uma é cibersegurança, a outra é performance”.

“De uma perspetiva de cibersegurança, todos conhecem os ataques de hacking que roubaram a informação de pessoas, ou atacaram um site e retiraram algo. Por isso, protegemos websites contra esse tipo de ataques com uma coisa chamada de web application firewall, ou WAF”, esclareceu Graham-Cumming. “Outra coisa que é familiar para as pessoas são os ataques DDoS [Distributed Denial of Service, em inglês], que é quando a internet deixa de funcionar, porque alguém ou algo mandou um elevado número de pedidos aumento o tráfego online”. Isto congestiona um servidor, tornando-o inacessível. Daí ser necessário ter mecanismos ou serviços que evitem que estes ataques possam ser feitos”. É neste campo que a Cloudfare também intervém.

Além disso, há a questão da performance, como disse o diretor de tecnologia da empresa: “A cibersegurança mantém o site seguro, mas depois tornamo-lo mais rápido. E fazemos isso operando servidores em todo o mundo. Esses servidores estão em mais de 200 cidades. Aqui em Portugal, estão em Lisboa. A ideia é que, se são um visitante de um site ou app que usa a Cloudflare, vão ser direcionados para o mais perto, que está aqui em Lisboa (…) e obtém-se a resposta mais rápida da app ou do site”.

A empresa, que desde 2019 tem parte dos escritórios principais em Lisboa — onde vive o diretor de tecnologia — é responsável por um grande número de sites na internet. “Temos um mecanismo de proteção e aceleração para uma grande percentagem de sites, qualquer coisa como 16% [de todos o sites na internet”, acrescentou ainda Graham-Cumming.

Como é que a Cloudflare se defende destas alegações?

Questionada pelo Observador sobre as leis norte-americanas que podem comprometer dados pessoais, a responsável global de comunicações da Cloudflare, que está em São Francisco, reitera: “Não houve transferências de dados dos Censos para os EUA“. E defende-se: “O comunicado de imprensa da CNPD não reflete com precisão o serviço que prestamos“.

A empresa vai mais longe e disse que a Cloudflare “nunca forneceu acesso” ao conteúdo em trânsito na rede e “em resposta a uma solicitação governamental”. E deixa uma promessa: “Se recebêssemos tal solicitação, lutaríamos em tribunal e dizíamos publicamente, por meio de um ‘relatório de transparência’ [“Warrant Canary“, em inglês, um mecanismo jurídico para uma empresa mostrar que recebeu uma ordem governamental], qualquer divulgação que formos obrigados a fazer”.

Cloudflare sobre polémica com Censos: “Não, não podemos enviar toda a informação para os EUA. Não é o nosso negócio”

Já antes, John Graham-Cumming tinha dito ao Observador que a informação “não passa pelos EUA magicamente”. Apesar de ter remetido mais detalhes sobre este assunto “para a equipa jurídica” da empresa, lembrou que a Cloudflare já teve um litígio com o FBI (Federal Business Bureau, a polícia de investigação federal dos EUA) no passado. “Levámos o FBI a tribunal e ganhámos, e agora podemos falar disso”, afirmou.

Em 2013, a Cloudflare recebeu um pedido do FBI para ceder informações sobre um cliente (pedido esse que recusou), mas só em 2017, devido a uma alteração da lei norte-americana, pôde revelar o que tinha acontecido. O caso chegou a tribunal, mas como se veio a saber nesse ano, a Cloudfare acabou por ganhar a batalha judicial e não cedeu às autoridades os dados que tinham sido pedidos.

Ou seja, ao contrário do que acontece em países como a China  — que é acusada de ingerência direta nas empresas, sem hipótese de contraditório  –, a Cloudflare quis mostrar que os EUA são um Estado de direito. Por isso, mesmo havendo o eventual risco de acesso aos dados — a Cloudflare não se pronunciou diretamente sobre as leis referidas –, a empresa diz que toma precauções para evitar que eles cheguem às autoridades. “Sempre fizemos desta questão da privacidade o cerne do nosso negócio”, alega John Graham-Cumming.

Então, mas a CNPD não devia ter fiscalizado o INE previamente?

Sim e não. Explicamos: os Censos são “a maior operação estatística nacional, envolvendo cerca de 15 mil pessoas”, como explica o INE. E não é só nesta fase que a CNPD entra no processo. O instituto de estatística esclarece que a operação “foi acompanhada pelo Conselho Superior de Estatística na Secção Eventual para o Acompanhamento dos Censos 2021 desde 2017”. Desta secção fazem parte, entre outras entidades, “a Comissão Nacional de Proteção de Dados”.

Por isso, sim, a CNPD tem acompanhado o processo e é algo que confirma na deliberação. No entanto, faltou ao INE ter pedido o tal AIPD ao regulador. “O INE não submeteu nenhuma avaliação de impacto à consulta da CNPD. Aliás, tal é referido no ponto 21 da deliberação”, diz em resposta ao Observador.

“A questão da AIPD, de acordo com a legislação portuguesa, é essencial”, lembra Sousa Pinheiro. Os Censos deparam com “elementos que são considerados informação sensível”, explica o especialista. Só por isso há requisitos jurídicos extra, principalmente desde que o RGPD entrou em vigor.

Como defende a CNPD, esta entidade não tem de lembrar o INE do que tem de fazer para acautelar os dados pessoais. “A responsabilidade por cumprir a lei em matéria de proteção de dados nos tratamentos que realiza é, em primeiro lugar, do responsável pelo tratamento – neste caso, o INE”, acrescenta a Comissão Nacional de Proteção de Dados. E adianta que “o papel da CNPD não é a de um parceiro, mas de uma autoridade de controlo”. Além disso, a comissão de proteção de dados critica a falta de cuidado do INE nesta matéria. “É precisamente devido à magnitude da operação censitária, que envolve o tratamento de dados pessoais, alguns sensíveis, de milhões de pessoas que deveria ter havido um cuidado acrescido para garantir que todas as exigências legais eram cumpridas“.

Quanto à fiscalização prévia à deliberação, Francisco Lima, presidente do Instituto Nacional de Estatística, assume que “o INE foi contactado pela CNPD a 26 de abril para atividade de verificação de tratamento de dados pessoais no âmbito da sua relação com a empresa Cloudflare, Inc. no que concerne à operação Censos 2021”. É exatamente por isso que a decisão do INE foi tomada antes de ser conhecida a deliberação da CNPD ser conhecida.

Depois disto tudo, ainda posso fazer os Censos, se não os fiz?

“Não obstante a utilização deste serviço, não está, nem nunca esteve em causa que a informação fornecida pelos cidadãos através dos formulário dos Censos 2021 esteja alojada nos servidores do lNE”. Esta afirmação foi retirada da deliberação da CNPD. Na terça-feira, o INE também disse que “o resultado desta ação [cancelar o contrato com a Cloudflare] não irá afetar a segurança do site do Censos 2021, continuando a ser assegurada a total proteção dos dados pessoais”.

Com a Cloudflare fora da equação, os Censos online perderam um dos dois serviços que a empresa prestava: “perfomance”. Como consequência, o INE diz que “pode ocorrer uma diminuição da  rapidez de acesso ao site de recolha dos Censos”. Mesmo assim, e após a polémica com a CNPD, o instituto deixa o aviso: “Esta opção de recolha – ou seja, a resposta pela internet – é a mais adequada, em particular face ao  momento que estamos a viver de saúde pública.”

Se a CNPD fez isto por causa da Cloudflare, outras empresas dos EUA que prestam serviços ao Estado, como a Google ou a Microsoft, vão ter medidas semelhantes?

Devido ao acórdão Schrems II do Tribunal de Justiça da União Europeia, “isto [deliberações que põem em causa empresas dos EUA] vai acontecer mais vezes”, afirma Alexandre Sousa Pinheiro. “Não tenho dúvidas, e com outras empresas e outras autoridades”, adianta. Até porque, como se ficou a saber, a CNPD considera que devido às leis que existem no outro lado do Atlântico, o Governo dos EUA poderá ingerir-se nos dados pessoais.

Em resposta ao Observador sobre esta questão, a CNPD refere: “Após o acórdão do Tribunal de Justiça da UE, que interpretou o RGPD nesta matéria, o Comité Europeu para a Proteção de Dados aprovou dois importantes conjuntos de recomendações — Recomendações 1/2020 sobre medidas suplementares e Recomendações 2/2020 sobre as garantias europeias essenciais –- para as quais a CNPD participou ativamente –- e que dão orientações sobre os passos que cada organização deve tomar para verificar se as transferências de dados que efetuam estão a cumprir a lei e que alternativas têm ao seu dispor“. E adianta, sem identificar qualquer empresa, que “a CNPD tem aliás outras averiguações a decorrer relativas a situações de transferências internacionais de dados”.