A Comissão Nacional de Proteção de Dados (CNPD) recebeu mais de uma dezena de participações relativas à operação censitária a decorrer – Censos 2021 – realizada pelo Instituto Nacional de Estatística, l.P. (lNE).
Sabendo que os dados dos Censos 2021 estavam a ser enviados para os serviços da Cloudflare, a CNPD ordenou ao INE a suspensão do envio de dados para os EUA.
Censos 2021 – Transferências para EUA foram suspensas
O Pplware fez ontem saber da posição do INE relativamente ao caso Cloudflare. Ainda no dia de ontem, a CNPD emitiu uma deliberação dirigida ao INE para que, no prazo de 12 horas, fosse suspensa qualquer transferência internacional de dados pessoais para os EUA ou outros países terceiros sem nível de proteção adequado, no âmbito dos inquéritos dos Censos 2021.
A Cloudflare é uma empresa com sede na Califórnia. Pelo tipo de serviços que fornece, está diretamente sujeita à legislação norte-americana de vigilância para fins de segurança nacional, a qual lhe impõe a obrigação legal de dar acesso irrestrito às autoridades dos EUA aos dados pessoais que tenha na sua posse ou à sua guarda ou custódia, sem que possa disso dar conhecimento aos seus clientes.
De relembrar que o formulário para a recolha de dados dos Censos 2021 era acedido através da infraestrutura disponibilizada pela Cloudflare, lnc. Esta empresa fornece vários serviços de segurança na lnternet e de Content Delivery Network (CDN). A CDN consiste numa rede de servidores que tem como objetivo diminuir a latência dos acessos aos servidores.
Quando o cidadão acede ao formulário dos Censos 2021, é encaminhado para um dos servidores da Cloudflare. A infraestrutura da Cloudflare comunica com o servidor do INE por TLS. O nome censos2021 .ine.pt estava associado ao lP 172.67 .41 .182, localizado nos Estados Unidos da América, estando atribuído à CloudFlare.
A chave de cifragem utilizada pela Cloudflare, que é da própria empresa, significa que a cifra aplicada por esta entidade, é por ela, e só por ela, decifrada – ou seja, antes da entrega do conjunto da informação (os pacotes de dados) ao lNE, a Cloudflare tem de proceder à sua decifragem, não tendo o INE qualquer intervenção neste processo.
Até à data da deliberação do CNPD, foram recolhidos dados pessoais de mais de seis milhões de cidadãos residentes em território nacional.
O Tribunal de Justiça da União Europeia considerou recentemente, no célebre acórdão Schrems II, que essa legislação implica uma ingerência desproporcional nos direitos fundamentais dos titulares dos dados, à luz do Direito da União, não assegurando, por isso, um nível de proteção de dados essencialmente equivalente ao garantido na UE.
O Tribunal considerou ainda que as autoridades de proteção de dados estão obrigadas a suspender ou a proibir transferências de dados, mesmo quando assentes em contratos baseados no modelo aprovado pela Comissão Europeia, como é o caso das cláusulas subscritas pelo INE, se não houver garantias que estas possam ser respeitadas no país terceiro.
No comunicado de ontem, o INE confirmou que foi contactado a 26 de abril pela Comissão Nacional de Proteção de Dados (CNPD), que suscitou dúvidas relativamente ao enquadramento jurídico da subscrição de serviços de desempenho e segurança no âmbito da operação censitária com a empresa Cloudflare.
Nesse sentido o INE suspendeu totalmente a subscrição destes serviços para os Censos 2021, para que não subsistam quaisquer dúvidas no âmbito da segurança da informação.
Leia também…