No passado dia 27 de Abril a Comissão Nacional de Protecção de Dados (CNPD) ordenou ao Instituto Nacional de Estatística (INE) a suspensão, no prazo de 12 horas, do envio de dados dos Censos 2021 para os EUA.

Segundo refere o site da CNPD, no seguimento de algumas queixas sobre as condições de recolha de dados do Censos através da Internet, foi feita uma rápida investigação que concluiu que o INE recorreu à empresa Cloudflare, Inc. para a operacionalização do inquérito censitário, prevendo no respectivo contrato a transferência de dados pessoais para os EUA.

A Cloudflare é uma empresa norte-americana com sede na Califórnia, diretamente sujeita à legislação dos EUA de vigilância para fins de segurança nacional, a qual lhe impõe a obrigação legal de dar acesso irrestrito às autoridades daquele país aos dados pessoais que tenha na sua posse, sem que possa disso dar conhecimento aos seus clientes.

No dia em que a CNPD determinou a cessação da transferência de dados para os EUA já tinham sido obtidas respostas ao Censos relativas a mais de 6,5 milhões de pessoas, titulares de dados.

Segundo apurou a CNPD, o INE recorreu aos serviços da Cloudflare com o objetivo de reduzir o tempo de resposta entre a acção do utilizador e a resposta da plataforma informática utilizada. Dispondo a Cloudflare de uma rede de duzentos datacenters espalhados por mais de cem países, a informação recebida é enviada, através de um algoritmo, para o servidor que dê a resposta mais rápida ao utilizador. Quando um cidadão acedia ao formulário dos Censos 2021 era encaminhado para os servidores da Cloudflare que comunicava, por sua vez, com o servidor do INE.

O facto de a chave de cifragem utilizada ser da Cloudflare significa que a cifra é por ela decifrada, não tendo o INE qualquer intervenção nesse processo.

Para a CNPD, a opção do INE implicou o trânsito de dados pessoais por países que não possuem o nível de protecção de dados exigido pelo Regulamento Geral de Protecção de Dados vigente na União Europeia.

Acresce que o contrato celebrado implicava uma específica autorização do INE para transferência de dados pessoais para os Estados Unidos da América e para os demais países onde estejam localizados os servidores utilizados pela Cloudflare.

A CNPD considerou existir «uma ingerência desproporcional nos direitos fundamentais dos titulares dos dados», à luz do Direito da União, não assegurando, por isso, um nível de protecção de dados essencialmente equivalente ao garantido na UE, pelo que «atendendo a que estão em causa dados pessoais de um universo quase total dos cidadãos residentes em território nacional, incluindo dados sensíveis como os relativos à religião ou à condição de saúde, a CNPD entendeu ser de suspender com efeito quase imediato a transferência de dados para os EUA ou para qualquer outro país terceiro sem protecção adequada».

Perante estes factos, o Grupo Parlamentar do PCP questionou o Governo, no sentido de saber:

1.º Se o Governo foi envolvido ou deu alguma orientação ou recomendação para a contratação da empresa Cloudflare;

2.º que medidas irá o Governo tomar junto do INE no sentido de averiguar os factos, bem como as responsabilidades dos intervenientes;

3.º se o Conselho Diretivo do INE deu alguma informação à tutela sobre a situação ocorrida, antes das notícias vindas a público;

4.º - Se o Governo pode afirmar que os dados pessoais dos cerca de 6,5 milhões de cidadãos residentes em Portugal se encontram seguros;

5.º – Se o Governo efetuou alguma diligência, após as notícias vindas a público, junto do Conselho Diretivo do INE;

6.º - Se, perante a transferência internacional dos dados pessoais recolhidos no contexto do Censos 2021, o Governo irá tomar medidas no sentido de assegurar o eventual resgate ou recuperação de tais dados.

São questões pertinentes que aguardam resposta.