PplWare Mobile

Censos 2021: CNPD ordena a suspensão do envio de dados para os EUA

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Eu says:

    Se fossem guardados no Google ou na Microsoft já não havia problemas…

    • Toni da Adega says:

      Se fossem guardados no Google ou na Microsoft , num datacenter localizado na Uniao Europeia, não havia problemas. Tem haver com a localizacao dos dados não da empresa

      • Joao Ptt says:

        Haveria problema sim, o tribunal secreto da NSA pode entregar um mandato judicial que as obriga a colaborar e a entregar os ditos dados, passando por cima de qualquer contrato ou legislação do país visado… são empresas dos EUA e têm de obedecer às leis de lá ou vão para a prisão.
        Por isso os servidores estarem em Portugal ou nos EUA, ou em Bruxelas não faz diferença, se a empresa e dos EUA ou têm lá escritório podem receber o dito mandato e têm de obedecer ou vão conhecer a cadeia. Se for só escritório talvez possam mandar o mandato para o lixo, mas a malta do escritório provavelmente acaba na prisão na mesma.

        • Zé Fonseca A. says:

          Não sabes mesmo o que dizes, que grande asneira.
          Nenhuma autoridade tem direitos sobre os dados protegidos ao abrigo do GDPR, por isso Azure, Google e AWS, assim como Clouflare, têm servidores na EU e dão a escolher se onde os dados ficam alojados assim como as suas copias.

          • Joao Ptt says:

            Que ignorância a sua Zé Fonseca A.
            Vê-se logo que não percebe nada disto.

            Mas você acha que por os servidores estarem na União Europeia isso é algum escudo mágico?
            Se a empresa é dos EUA, e tem acesso teórico aos mesmos, eles têm de obedecer às leis do EUA e se receberem os ditos mandatos do tribunal secreto da NSA, eles têm mesmo de obedecer e transmitir os dados para a NSA, não é uma opção eles não obedecerem à lei lá, a menos que queriam ir presos, ou no mínimo fechar a empresa… nenhuma destas duas últimas parece credível.
            E os contratos e tal? A lei lá passa por cima de contractos e leis de outros países… se a empresa é de lá tem de obedecer às leis de lá, mesmo que entre em conflito directo com contratos e leis de outros países.

          • Zé Fonseca A. says:

            Tem escudo mágico ou la como quiseres chamar sim, por isso existe segmentação de dados geográfica de acordo com legislações diferentes.
            São obrigados a ter registos, logs, que comprovem que não houve migração de dados assim que comprove caso tenha tido acesso a dados dos seus clientes.
            Violação destes termos pressupõe o pagamento até 4% da facturação.
            A sede da empresa vale zero, existe legislação específica para empresas fora da UE trabalharem com clientes da UE. No caso destas gigantes nem é preciso nada disso pois és faturado pelas sedes europeias da empresa, eu pago o meu azure à Microsoft Alemanha ou Irlanda, ou até França, igual com Amazon e afins.
            Não venhas espalhar desinformação, se fosse assim nunca tinham avançado com GDPR.

          • Zé Fonseca A. says:

            Quanto a não perceber nada disso, só tenho certificação DPO tirada em 2018… pois, sou um zero…

          • Joao Ptt says:

            Zé Fonseca A.
            Já lhe disse que não é nada como diz.
            Se a empresa proprietária tem sede nos EUA, e tem acesso aos servidores, a mesma tem de obedecer ao mandato judicial do tribunal secreto da NSA, o GDPR não passa por cima de um mandato judicial do tribunal para uma empresa que esteja sediada nos EUA.
            Ter um curso de DPO não altera a realidade dos factos, goste deles ou não. Uma empresa cá tem de obedecer ao GDPR, mas lá nos EUA eles têm de obdecer às leis de lá… e acredite a Microsoft andou a lutar nos tribunais precisamente com o argumento dos servidorers não estarem lá nos EUA e perdeu todos os recursos: eles são obrigados por lei e por decisão judicial a obedecer aos mandatos judiciais de lá para obter os dados, estejam eles onde estiverem desde que a empresa tenha forma de aceder aos mesmos.

            As empresas podem é arranjar maneira de se separarem de tal forma que juridicamente deixem de poder obedecer a tais mandatos por elas mesmas não poderem aceder mesmo que quisessem porque não é delas.

        • osonhador says:

          Dp só as empresas chinesas é que sao isto e aquilo…eheheheh!

        • rm says:

          Joao Ptt

          Acho que já te explicaram, Equipametos na EU cumprem a Lei europeia não cumprem a lei a americana.
          Eles podem vir com mandatos, só são válidos sobre o espaço americano, por alguma razão demoram anos a fechar servidores que estão foram do pais deles.

          • Joao Ptt says:

            Isso é falso. Absolutamente falso. 100% falso.

            Se a empresa tem sede ou presença física nos EUA podem receber tais mandatos e caso tenham forma de aceder aos servidores, mesmo que localizados em outros países, eles são OBRIGADOS, por força da lei de lá, e confirmado em desafios a tais leis em processos em tribunal lançados pela Microsoft há uns anos, que têm mesmo de obedecer ou vão para a prisão… ah! E ainda têm de negar se tiver lá no mandato tal exigência, algo que é comum.

      • ToFerreira says:

        “tem haver”??
        Terá haverá?
        Teve houve?

  2. Deivid Araujo says:

    Se quiserem um HD externo emprestado para guardar as informações, tenho uns quantos para armazenar 0,001% dos dados da malta toda.

    Acho que o gestor de infras vai ser despedido.

  3. Rui says:

    Será que Portugal não tem empresas com capacidade para fazer uma página web com um formulário e guardar esses dados?

    • André silva says:

      Trata se de ter um sistema de distribuição de carga, e nisso a cloudflare é muito boa. Os dados muito provavelmente nem estão a ir aos states, mas á Europa. Mas pronto

      • Artur Peralta says:

        hoje em dia qualquer revendedor de vps tem “load balancers”, firewals, cdn, … é preciso é perder tempo a configurar e não sei se os milhares de euros gastos para fazer esta plataforma (não sei quanto se gastou), não chegam para isso e foram pelo caminho mais fácil.

        Nem sei como não escolheram wordpress com tema comprado…

    • Mario says:

      Temos sim. Várias. Mas o que é estrangeiro é que é bom! (pensam eles)

  4. LA says:

    Usem as infraestruturas nacionais. Ou o que é nacional não presta. Se bem que, utilizando encriptação SSL e ficando os dados alojados num servidor nacional, não estou a ver qual o problema de usar a infraestrutura DNS e DoS, da Cloudflare.

    • Joao Ptt says:

      E que empresas 100% nacionais (patrões e empregados 100% portugueses, financiamento 100% português, sem cadastro criminosos, sem qualquer presença no estrangeiro (sede, escritórios), centro de dados próprios e apenas em Portugal 100% da propriedade de tal empresa) é que você conhece?
      Altice? Francesa.
      NOS? Angolana.
      Vodafone? Reino Unido.

      Não me consigo lembrar de nenhuma realmente grande com capacidade para receber milhões de visitas 100% portuguesa, talvez exista, de certo que existe, mas não estou a ver.

    • FAR says:

      Não foi DNS foi CDN. Coisas diferentes.

      A CDN permitiu facilmente que não houvesse problemas de abrandamento ou engasgos na rede devido ao número de acessos elevado (como aqueles que o site das finanças costuma ter por volta da altura da entrega do IRS), mas tem um custo. A informação é redirecionada para os servidores da INE, mas depois de passar pela estrutura do Cloudflare. O que a Cloudflare faz com esses dados que por lá passaram é uma incógnita e é aí que reside o problema, pois se tiverem retido o que quer que seja os serviços dos EUA têm acesso certeiro à informação.

    • Elektro says:

      Força, senão te importares dá ai uma dica á malta de onde alojar, é que só vejo ofertas fora de Portugal (e que tenha preço competitivos):
      -OVH
      -Hostinger
      -AWS
      -BlueHost
      -InMotion

      Assim de cabeça é as únicas que me lembro de terem sido publicitadas em vídeos, banners, etc..

  5. David Guerreiro says:

    Porque é que não contrataram uma empresa europeia? Deve haver alguma com capacidade para lidar com isso. Não tenho nada contra a Cloudflare, mas se há esse problema dos dados irem parar aos EUA, ou China ou lá onde for, era melhor terem evitado logo de início.

    • Joao Ptt says:

      Nenhuma empresa que não seja 100% nacional (em todos os aspectos da coisa) pode ser confiável para receber dados confidenciais a que as pessoas sejam obrigadas por lei a transmitir ao estado ou a instituição nacional indicada pelo estado.
      Se a empresa for estrangeira, ou tiver os servidores no estrangeiro, enfim… outros estados podem quase sempre obter tais dados com mandatos, dependendo é claro da legislação… sem falar com espiões ou equipamento de intercepção nessas empresas.

      E para não ser ingénuo, mesmo algo 100% de e em Portugal não seria completamente seguro, que o que não faltam é pessoas competentes para entrar em tudo quanto é digital independentemente das pseudo medidas de segurança tomadas, tanto utilizando técnicas conhecidas como técnicas desconhecidas ao presente momento.

      Claro que o INE, e o estado e até as próprias pessoas podem estar a borrifar-se para a privacidade dos dados, mas se alguém gostar que as suas respostas fossem de facto confidenciais, se antes em papel não eram, agora com os dados a serem enviados pela Internet desta maneira é quase garantido que alguém que não os deveria ter tem, ou vai ter em breve. Se Sony’s e outras grandes empresas não conseguem manter os seus sistemas seguros, muito menos estes incompetentes do INE… que nem conseguiram antever o problema de utilizar serviços de terceiros para receberem dados confidenciais que dizem eles que deveriam ser tornados anónimos… em papel ainda acredito que conseguissem, mas em formato digital não, muito menos feito desta maneira.

      • NjsS says:

        “Nenhuma empresa que não seja 100% nacional (em todos os aspectos da coisa) pode ser confiável para receber dados confidenciais a que as pessoas sejam obrigadas por lei a transmitter ao estado ou a instituição nacional indicada pelo estado.”

        Se olhares atentamente para um talão multibanco vês o nome de uma dessas empresas que dizes não existir.

        • Joao Ptt says:

          A SIBS tende a ser das menos más… mas eles são os idiotas que permitem aderir ao MBWay sem que a pessoa tenha de provar ter efectivamente acesso à conta bancária sendo capaz de ver os movimentos, quando se adere pela aplicação. Pior: não há forma de bloquear isso, já tentei no banco e dizem que não é possível bloquear a adesão ao MBWay… isto da SIBS é problemático à séria, mas eles não resolvem, e era canja.

          • PauloPedroso says:

            Penso que é possível cancelar o acesso ao mbway. Metes o cartão na máquina e cancelas o acessp anterior ou aderes novamente.

  6. Robin Hood da Silva says:

    os russos, os chineses e parece que também os norte-coreanos têm muitos bons serviços na area. Não sei porque se limitam ao uncle Sam…?

  7. Samuel MG says:

    Assim é que se espia os que não têm FB!!!

  8. Eu digo says:

    Suspendeu quando os Camones já lá têm dados de 6 Milhões? Então agora serve de muito…

  9. Joao Ptt says:

    Mas podiam ter feito entrega digital e ser seguro mesmo passando pela Cloudflare, por uma empresa Norte Coreana, Chinesa ou por uma empresa Russa? Sim.

    Com utilização de uma aplicação que fosse descarregada directamente do INE (que desse para verificar com assinaturas digitais e integridade SHA512 por exemplo) e que a pessoa preenchia localmente e depois cifrava tudo localmente e enviava para o INE já cifrado desde o dispositivo da pessoa… uma vez que eles entregaram um papel poderia incluir já uma chave (código) para cifrar os dados até com uma cifra simétrica realmente segura, que resistiria até mesmo a ataques de computadores quânticos… e como a pessoa só compre a lei se eles de facto confirmarem que receberam os dados de forma correcta o servidor deles poderia conter também a chave armazenada de forma segura que permitia verificar se de facto a pessoa tinha colocado a mesma chave simétrica fornecida.
    Isto permitia utilizar terceiros intermediários de forma segura, mas não que depois alguém não fosse conseguir obter tais chaves secretas… isso já é outra conversa… é possível fazer de forma segura, mas muito difícil como os problemas com o TPM (Trusted Platform Module) o comprovam reiteradamente ao longo dos anos.

  10. Mateus says:

    Tanta incompetência. Agora como está, fica muito mais bem protegido. Daqui a uns dias sai um notícia que os servidores da INE, que de segurança não tem nada, sofreram uma quebra de segurança.

  11. A. says:

    Uma questão o problema estava no CDN, logo só realizando um lookup para perceber que havia IP, que estavam atribuídos à CloudFlare…

    Ou era possível descobrir analisando a cadeia de certificados digitais, pois vi-os há pouco, e parecia estar corretos, forma atribuídos pela Digicert (US) como root, mas o cliente final do certificado era o INE… como uma grande maioria de sites…

  12. Luis Henrique Silva says:

    Enfim, agora tudo está com medo disso, por estes andares o censos já mais poderá ser realizado.
    Eu para mim é uma palhaçada, deixem o censos correr normalmente….

  13. Sec says:

    Imaginem se fosse para fazer votação electrónica ui ui.
    Este pais vai bem encaminhado…

  14. jaugusto says:

    … então mas estes camones já não sabiam disto antes de tomar a decisão!? Entretanto na minha terra no outro dia passou um comboio a vapor: vouguinha!

  15. Samuel MG says:

    Aqui vai o que eles responderam (via mail) quando disse que estavam a violar RGPD:

    “Os nomes permitem validar a recolha de algumas variáveis, além de permitirem validar as relações de parentesco entre os membros do agregado. Permitem também ao INE saber a quem se dirigir, em caso de dúvida.
    Aos dados fornecidos pelos cidadãos no âmbito dos Censos 2021, o INE aplica todas as garantias que estão consagradas no RGPD (Regulamento Geral de Proteção de Dados), nomeadamente, o respeito pelo fundamento do direito à proteção dos dados pessoais e a adoção de medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses dos titulares dos dados.
    A Lei do Sistema Estatístico Nacional (Lei nº 22/2008 de 13 de maio), através da referência ao princípio do segredo estatístico, complementa e reforça o que o RGPD visa proteger.

    Melhores cumprimentos,”

    Mais uma mentira do INE.

  16. Cláudio Andrade says:

    e depois ainda vieram ameaçar com multas quem nao fizesse

  17. Miguel says:

    Torno a dizer a obrigatoriedade de darem dados pessoais tão extensos no meu ver é inconstitucional e no final ficamos a saber que andaram por servidores de uma empresa americana.

  18. ToFerreira says:

    Tanta gente que se acha tão importante ao ponto de se tornar interessante para a NSA.

  19. Há Cada Gajo says:

    A CNPD é uma autêntica pedra na engrenagem do progresso. Só protegem os infratores. Não há noção das ideias peregrinas e mirabolantes que aquelas cabecinhas são capazes.

  20. Wolfheart says:

    Será que podemos processar o INE (os quadros decisores) por ter enviado/divulgado os dados os Portugueses para fora de Portugal/União Europeia?

  21. Dicas says:

    E que tal cifrar os dados antes de enviar para a Cloudflare?
    Podiam usufruir das vantagens da infraestrutura e ainda assim salvaguardar o acesso à informação dos tugas… sei lá, ocorreu-me… mas isso era capaz de dar um pouco mais de trabalho.

  22. Zé Duarte says:

    Já estou arrependido de ter preenchido essa porcaria!

  23. Pedro de Ataíde says:

    Cumprimento a equipa do Pplware pela coragem em publicar esta notícia, acompanhada, aliás, de uma cuidada explicação da situação.
    Quando, em “posts” de 17 e 23 de Abril, denunciei, expus e expliquei pormenorizadamente este escândalo, não supus que algum orgão de comunicação social tivesse a coragem de partilhar a informação em causa.
    Apraz-me pois registar a corajosa atitude da Pplware, publicando a matéria e elucidando os Portugueses. Isto, sim, é serviço público.
    Pplware: eis um projecto que merece ser acarinhado.

  24. Sardinha Enlatada says:

    Independentemente para onde foram os dados, eu acho que nao foi assim tao grave porque nao divulgamos dados sensiveis. Mas pronto com este incidente fica provado que Portugal nao tem (ou nao quer ter) capacidade para gerir os dados das pessoas. E triste de facto.

    • Killroy_was_here says:

      Não divulgaste dados sensíveis? nomes completos, moradas, números de telefone, número de pessoas a viver na habitação, m2 de cada habitação, nome da empresa/ local de trabalho… se trabalharam de 12 de Abril a 18 de Abril e receberam em numerário ou noutra forma de pagamento, quem me diz que isto não vai ser tudo atualizado e vai ser cruzado com os dados da AT ? Só faltou mesmo pedirem a conta bancária. Enquanto Portugal não se livrar deste socialismo corrupto em que está mergulhado o país não avança. Porque não fazer algo bastante inovador e muito mais seguro com os censo 2021 na blockchain ? Ah não isso dá muito trabalho e em Portugal não convêm andar a chamar atenção para essas áreas para dar tempo aos bancos e ao BdP para regular isto para os mesmos do costume andarem a chupar os rendimentos como já é costume. Enfim Portugal no seu pior como sempre.

      • Sardinha Enlatada says:

        Entao tu acreditas mesmo que esse tipo de informacao que nos divulgamos sao dados sensiveis ? Para mim dados sensiveis sao o NIF NIB dados do cartao de cidadao. E isso nos nao divulgamos. Se cruzam essa informacao , quem vai cruzar ? Nao sao as entidades que estao sediadas nos EUA. Se cruzarem e ca em Portugal. A verdade e que roubo e desvio de dados sao feitos a descarada e nao nos preocupamos muito com isso. Mas pronto alguem divulgou que essa empresa EUA estava metida ao barulho e ficou toda a gente escandalizada. Giro era cruzarem os dados dos rendimentos das pessoas vs o patrimonio que possuem, ai sim veriam uma diferenca abismal com o que declaram e com o que tem. Poderiam era estar a discutir isso ao invem de dados (a meu ver) insignificantes para o que quer que queiram fazer com eles.

        • PeterSnows says:

          Santa ignorância (big data, cruzamento de informação, médias, medianas, …).
          Só pela tua localização do sim card, sou capaz de saber mais de ti que tu próprio.

  25. Infinity says:

    Podemos processar o INE por não cumprir o GDPR?

    • A. says:

      Quem não cumpre a lei, pode ser sempre processado, não merecia outra coisa, o problema é que no outro lado vão se defender, e têm o apoio do Estado Português, por de trás! são um organismo Estatal…
      Quem se mete sujeira-se ! agora pode haver um ação coletiva judicial, (a União faz a força, não era o que diziam…) e se o pplware, quiser discretamente ajudar a reunir assinaturas….

  26. zakarias says:

    Não é preciso de um canhão para matar uma mosca. Estamos a falar do tratamento de dados de no máximo 5 milhões de registos. Para isso qualquer VPS com um sistema de queue serve para tratar do assunto. Tens em Portugal serviços de hosting como Amen.pt com VPS extremamente rápidas. Por isso qualquer arquitecto de software com um minimo de recursos desenharia uma solução sem dados a sair de Portugal.

  27. André Silva says:

    Por acaso sabem que a EDP tem os dados nos servidores do Google?
    Malvados… agora o google sabe quantos kilobatos eu gasto por mes.

  28. Pedro says:

    Sou só eu a achar estranho que agora a decorrer os censos é que se depararam com esta questão?! Estamos a falar de uma campanha que teve 10 anos para ser concebida, preparada e executada, é incompreensível como é que numa década não repararam que a cloudflare poderia ser obrigada a passar dados às agências norte americanas.
    Mais questiono se o Estado não poderia ter providenciado as condições necessárias em território português para alojar os dados recolhidos nos censos?
    Depois, em tempo de eleições, ficam muito admirados com os níveis de abstenção. Pois bem, parece que o poder legislativo, quando eleito, se distancia daqueles que os elegeram…

  29. Saxifine says:

    Quem é que disse que a transmissão de dados para os EUA foi involuntária?
    Em Portugal existe a tradição de transmitir todo o tipo de informação confidencial a outros
    países.
    Exemplos: Após a falsa revolução do 25 de Abril de 1974, que foi supostamente instaurada
    a democracia, diga-se uma falsa democracia, e Portugal vendido ao desbarato ás potencias económicas,
    através de “reformas” – a saber – transformar o país num dependente e escravo económico, social ,
    dependente também de toda a espécie de leis… ora…. Muita informação foi enviada para a Rússia, informação também sobre a 2º guerra mundial, quando o Partido Comunista Português teve grande poder após o 25 de Abril de 1974, ninguém foi julgado por traição á Pátria.
    Existiu uma outra revolução, chamada de 25 de Novembro, essa quase apagada…..
    O MFA – Movimento das Forças Armadas – foi corrompido de seus objetivos para Portugal, foi sucessivamente
    substituído muito subtilmente por outras pessoas, e a própria Constituição Portuguesa foi muitas vezes
    alterada, tal alteração deram o nome de retificação, que foi uma alteração na verdade. Ora, hoje Portugal está dependente de todo o sistema económico da União Europeia, quem manda é a União Europeia, e o país está cheio de corruptos e ninguém faz nada, muito menos os tribunais de merda portugueses. Somos explorados, escravizados, não temos acesso á justiça pois só funciona se tivermos dinheiro, sendo Portugal mais corrupto que o Brasil ou Angola. Até agora já faliram mais bancos em Portugal do que num países do terceiro mundo.
    Vivemos numa falsa democracia, se dizemos o que outros não querem ouvir vamos para tribunal.
    Em resumo, estão a implicar com algo que sempre existiu e vai existir. Os poderosos mandam e nós somos explorados.

  30. PeterJust says:

    É muito grave esta situação não tenham duvidas disso, então os nossos dados ficam à mercê de uma empresa estrangeira abrangida por leis estangeiras?! Mas andamos a brincar?! Isto é o Guantanamo dos nossos dados, puro terrorismo. A UE devia já meter mão nisto, legislar e proibir estas situações quanto antes.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.