30 abr, 2021 - 15:18 • Inês Rocha , Ana Carrilho
Tudo começou com um rumor, que surgiu nas redes sociais, no dia 17 de abril, através do perfil de "Pedro de Ataíde", um adepto de teorias da conspiração, do negacionismo da pandemia de Covid-19 e do discurso de ódio contra muçulmanos.
A publicação classificava os Censos como "ilegais e inconstitucionais" e acusava o Instituto Nacional de Estatística (INE) de ter o seu site, "alojado na Califórnia, sob o controlo de uma empresa privada estadunidense, de nome Cloudflare".
O texto acusava ainda a Cloudflare, uma empresa de cibersegurança norte-americana, com escritórios em Lisboa, de ter um "longo historial de práticas criminosas, sendo, desde logo, famosa por ser seu costume apropriar-se, ilegalmente e sem consentimento, de todo o tipo de dados pessoais dos cidadãos".
A publicação foi partilhada centenas de vezes por outros perfis dados a teorias da conspiração, incluindo a página do movimento "Juristas pela Verdade", uma página criada para contestar as medidas de combate à pandemia de Covid-19.
As informações incluídas na publicação eram falsas - o site onde são realizados os Censos não está alojado na Califórnia e a Cloudflare não tem o tal "longo historial de práticas criminosas".
A Cloudflare prestava, sim, serviços de desempenho e segurança dos servidores no site dos Censos. O que é que isto significa?
"Do ponto de vista técnico, quando nós estabelecemos uma ligação para um site, uma ligação segura, que começa por 'https', isto tipicamente cria um túnel seguro entre o nosso browser e o servidor do site", explica à Renascença Nuno Loureiro, CEO da Probe.ly, uma empresa portuguesa ligada à cibersegurança.
"A Cloudflare fornece um serviço para proteger os sites contra ataques de negação de serviço ou outro tipo de ataques. Para o fazer, tem que quebrar este túnel seguro entre o browser e o servidor de destino. E, portanto, há aqui uma interseção dos dados para proteger a comunicação", continua o especialista.
Assim, não é verdade que o site esteja alojado nos servidores da Cloudflare - é verdade, sim, que a empresa interceta os dados transmitidos entre o browser de cada utilizador e o servidor, para prestar os seus serviços. Mas tanto a empresa como o INE garantem que os dados não são armazenados pela empresa.
Foi neste contexto que a Comissão Nacional de Proteção de Dados (CNPD) lançou, na noite de terça-feira, uma deliberação dirigida ao INE, dando 12 horas para que suspendesse qualquer transferência de dados pessoais para os Estados Unidos.
A deliberação, avançou a CNPD à Renascença, foi consequência de uma ação de fiscalização feita na segunda-feira nas instalações do INE, depois de ter recebido várias denúncias relacionadas com os inquéritos dos Censos.
Em entrevista à Renascença, esta quinta-feira, a secretária-geral da CNPD, Isabel Cruz, explicou que a circulação de dados decorria do contrato assinado pelo INE.
“Quais foram os problemas que se colocaram? Em primeiro lugar, os servidores não estão restritos à União Europeia e andam por todo o mundo, até países sem a proteção adequada. Por outro lado, o contrato subscrito prevê que as agências de vigilância dos Estados Unidos podem solicitar a este tipo de empresas acesso a todos os dados e essas empresas não podem avisar o cliente de que houve esse acesso aos dados”, disse.
Instituto Nacional de Estatística fez um contrato (...)
Um dos pontos a gerar mais confusão, após a decisão da CNPD, foi a afirmação, por parte do regulador português, de que "não há qualquer garantia que os dados pessoais dos cidadãos residentes em Portugal, recolhidos pelo INE através do seu website, no âmbito do Censos 2021, não sejam acedidos pelas autoridades dos EUA, por intermédio da Cloudflare devido aos serviços por esta prestados ao INE e que implicam, conforme contrato firmado, a transferência desses dados pessoais para os EUA".
Esta afirmação levou o INE e a Cloudflare a afirmar que nunca houve transferência de dados dos Censos para os Estados Unidos. Numa declaração escrita enviada à Renascença, a Cloudflare reafirma que "não houve transferência de dados de recenseamento para os EUA" e acusa a CNPD de, na sua deliberação, "não refletir com exatidão o serviço que prestamos".
A CNPD assumiu, desde o início, que poderá nunca ter existido essa transferência - mas tendo em conta o contrato assinado pelo INE a subscrever os serviços da norte-americana, esse risco existia. Por isso, ordenou a suspensão dessa transferência de dados. O resultado? O INE decidiu suspender o contrato com a empresa norte-americana.
A única maneira, segundo Nuno Loureiro, especialista em cibersegurança, seria se a Cloudflare fosse mandatada pelo governo dos Estados Unidos para intercetar comunicações com o Instituto Nacional de Estatística português, em tempo real.
"Não estamos a falar de eles armazenarem dados e depois o governo vir à posteriori pedir estes dados, estamos a falar para o futuro. Teria de haver, obviamente, um fundamento legal do lado dos Estados Unidos para o fazer", explica o especialista.
Ao jornal Público, a Cloudflare garantiu mesmo ao que nunca recebeu um pedido do género do governo do seu país.
"A Cloudflare nunca forneceu acesso ao conteúdo que transita na sua rede em resposta a um pedido do Governo. Se recebêssemos tal pedido, combatê-lo-íamos em tribunal e indicaríamos publicamente qualquer divulgação que fôssemos obrigados a fazer", afirmou a empresa, segundo o jornal.
No entanto, o contrato assinado pelo INE com a Cloudflare diz o contrário, aponta a CNPD na deliberação divulgada na terça-feira.
No ponto 7 de uma adenda sobre processamento de dados feita ao contrato original, a Cloudflare assume que, no seu papel de subcontratante, poderá ser objeto de pedidos de acesso a dados pessoais, por parte de terceiros no âmbito de procedimentos legais, que possam ser "inconsistentes" com a lei aplicável ao seu cliente, ou seja, o RGPD. Nesse caso, existindo conflito de leis, a Cloudflare declara que informará de imediato o cliente, "a menos que tal notificação seja legalmente proibida".
Ora, a legislação dos EUA impede as empresas norte-americanas de informarem os seus clientes do acesso realizado pelas autoridades para fins de recolha de informação sobre estrangeiros, no contexto da atividade de segurança nacional, como notou o Tribunal de Justiça da União Europeia na análise ao caso "Schrems II" - acórdão que esteve na base desta decisão do regulador português.
A Renascença pediu uma entrevista ao INE, mas até à hora de publicação deste artigo, não foi possível agendá-la.
Nuno Loureiro considera que a polémica com o contrato entre a Cloudflare e o INE "está no campo da política e não da cibersegurança".
"Do ponto de vista técnico, eu acho que não há aqui qualquer tema, a Cloudflare é uma empresa de segurança bem competente nessa área, com bastantes recursos e bastante bons tecnicamente, e prestam um serviço, como prestam outras empresas", considera.
Aliás, a empresa que Nuno gere, a Probe.ly, utiliza os serviços da Cloudflare nas suas páginas.
Ainda assim, Nuno considera que, se a CNPD considera o serviço da Cloudflare um problema, por usar servidores nos Estados Unidos, então "temos de questionar muitas outras coisas".
Como o facto de ser uma empresa norte-americana a fazer um um dos sistemas operativos mais utilizados, o Windows, ou Apple no caso do MacOS. Ou o facto de "uma grande percentagem da População usar telefones Android, que é dominado pela Google, ou iPhones, dominados pela Apple".
Na opinião de Nuno, o INE fez bem em contratar a Cloudflare para prestar este serviço, como outros sites de entidades públicas contratam outros serviços semelhantes.
Por exemplo, o portal das Finanças, onde milhões de portugueses colocam as suas declarações de IRS, usa os serviços da Akamai, uma concorrente da Cloudflare, também norte-americana. O facto foi notado por João Pina, criador de projetos como o Fogos.pt e o VOSTPT.
Na sua página do Twitter, o programador lançou publicações sobre vários sites de entidades estatais a usar serviços de empresas norte-americanas que transferem dados para os Estados Unidos, nomeadamente o portal e-Portugal, o portal da transparência ou o portal das eleições, gerido pelo Ministério da Administração Interna.
"Não acho que o estado tenha de ter competência em todas as áreas, tem de contratar as melhores empresas para prestarem os serviços com os requisitos que eles pretendem", considera o CEO da Probe.ly, Nuno Loureiro.
Questionada sobre a existência de outros serviços públicos a utilizar serviços do género do da Cloudflare, a CNPD avança que está a investigar outras situações de transferências internacionais de dados em entidades públicas e privadas. O regulador sublinha que estes processos já tinham sido abertos, não foram abertos na sequência do caso do INE.
A Comissão abriu um processo e vai analisar os ilícitos que terão ocorrido. A coima a aplicar ao Instituto Nacional de Estatística pode ir até aos 20 milhões de euros, mas não quer dizer que seja essa a ser aplicada.
Isabel Cruz sublinha que os processos que implicam obtenção de prova são geralmente mais demorados, mas garante que a Comissão de Proteção de Dados está a dar grande importância a este processo.
Fique por dentro > 
