Pode um rumor criado através de uma rede social gerar um tsunami nos mais de 7000 km de mar que separam Portugal e os Estados Unidos?
Parece-nos que sim.
O assunto é conhecido: O contrato assinado pelo INE e a Cloudflare, empresa de servidores que aloja os dados recolhidos no âmbito dos CENSOS 2021 prevê que os mesmos possam vir a ser transferidos para países terceiros, nomeadamente para os E.U.A., mais propriamente na Califórnia onde a Cloudflare tem servidores e se suspeita que tenham sido transferidos os dados dos CENSOS 2021. A CNPD tomou ainda conhecimento de que o INE não efetuou qualquer avaliação de impacto atendendo ao tratamento de dados sensíveis, condição obrigatória para lançar-se mão a esta avaliação nos termos do art.º 35 do RGPD. No uso dos poderes que lhe foram conferidos, a autoridade de controlo portuguesa decidiu suspender, com efeitos imediatos, num prazo de 12 horas, todas e quaisquer transferências de dados para os Estados Unidos, bem como, outros países terceiros, que não assegurem a conformidade e uma proteção adequada no tratamento dos dados em linha com o RGPD.
Fazendo uma análise fria e meritória: em primeiro lugar, o facto de estarmos perante uma entidade pública – o INE – não é motivo nem justifica o desrespeito pelas mais elementares regras do RGPD. Aliás, o próprio Regulamento não se aplica somente às entidades privadas, aplica-se também às entidades públicas. Deve ser o Estado, e todas as suas administrações e institutos periféricos a dar o primeiro passo na proteção da confidencialidade dos dados dos titulares, nomeadamente, nos dados de milhões de portugueses – é um fim público.
Por outro, não podemos aceitar que, no caso dos CENSOS 2021, o INE se tenha “esquecido” de recorrer a uma avaliação de impacto nos termos do Regulamento para tratamento de dados sensíveis vertidos nas perguntas efetuadas no questionário.
A gravidade é de tal ordem, que o contrato assinado entre o INE e a Cloudflare permite a transferência de dados para outros países terceiros, sem prejuízo de conhecimento do INE, quando a legislação desse mesmo país obrigar a essa transferência.
A legislação norte-americana em matéria de tratamento de dados e confidencialidade tem sido aquela que potencia e permite uma maior intrusão nos dados dos seus cidadãos e dos cidadãos de outras nações, através de sistemas de espionagem altamente lesivos à confidencialidade e integridade dos dados dos titulares.
A CNPD teve em conta a decisão do TJUE no caso SCHREMS II onde foi declarada a invalidade do chamado Privacy Shield (acordo assinado entre os E.U.A. e a Comissão Europeia onde se prevê um tratamento de dados em solo norte-americano segundo os princípios base do RGPD). O TJUE considerou que a legislação norte-americana não assegura os requisitos necessários à proteção de dados, nomeadamente, a consagração e execução plena da confidencialidade e privacidade dos dados, quer sejam dos seus cidadãos, quer dos cidadãos estrangeiros e cujos dados se encontrem naquele território.
Contudo, a CNPD aborda ainda a questão sobre a possível adoção das chamadas cláusulas-tipo, definidas e aprovadas pela Comissão Europeia, para colmatar e compensar a inexistência de um regulamento que proteja os dados em países em que a legislação não oferece um ordenamento protecionista dos dados pessoais.
No entanto, e tal como, a decisão SCHRENS II a CNPD acaba por concluir que nenhum governo com políticas intrusivas e lesivas da confidencialidade, tendo como fito a segurança e prevenção terrorista, vai acatar quaisquer cláusulas-tipo que prevejam exatamente o oposto do teor dessas mesmas medidas, levando-se à conclusão da insuficiência dessas mesmas cláusulas.
A força destas cláusulas perde-se, quando confrontadas com a dimensão de um país com um historial de atos praticados pela sua Agência Nacional de Segurança (basta recordarmos o caso Edward Snowden e tudo o que veio a público sobre os programas e atos de espionagem levados a cabo pela Administração Norte-Americana).
Existem várias conclusões a retirar desta história. Em primeiro lugar, a de que no melhor pano cai a nódoa. O INE, como entidade responsável pelo tratamento dos dados, não poderia ter falhado naquele que é, por assim dizer, uma das mais importantes e arriscadas atividades de tratamento de dados (de 10 em 10 anos) em Portugal: os CENSOS 2021 – são tratados os dados de todos os portugueses. A falta de uma avaliação de impacto obrigatória e um contrato pouco clarificador sobre para que países seriam transferidos os dados dos portugueses motivaram, e bem, que a CNPD ordenasse a suspensão da transferência de dados para os Estados Unidos da América ou outros países terceiros, bem como, a suspensão do contrato celebrado pela Cloudflare, por parte do INE.
De notar o cumprimento imediato da medida suspensiva por parte do INE ou não previsse o regulamento a aplicação de uma coima até € 20.000.000 (vinte milhões de euros) pelo não cumprimento das ordens emitidas pela autoridade nacional (a CNPD) nos termos do n.º 6 do art.º 83.º e do 58.º n.º 1, ambos do RGPD.
O INE nega veementemente todas as suspeitas (apesar das dúvidas e a suspensão do contrato com a Cloudflare) e pediu para que os censos continuem a ser preenchidos. Segundo o Instituto, inexistem dados fora do INE. Já diz o dito popular: só quem está no convento, sabe o que lá vai dentro. Esperemos que tudo não passe de uma profecia de mau gosto com a chancela do selo fakenews. Até lá, vamos aguardando os próximos capítulos.
Numa altura em que os dados pessoais se assumem como o petróleo dos novos tempos, todo o cuidado é pouco, contudo, e nos tempos que correm, mais vale prevenir do que remediar o mal feito (no entanto, e talvez, já tarde demais).
David Silvério
DPO CONSULTING
Who are we?
Our team with transversal skills composed of professional extensive experience that bring competitive advantages and solutions to the challenges of Data Protection and Information Security of your business. Data Protection and Information Security, in your business.
