banner

Pode um rumor criado através de uma rede social gerar um tsunami nos mais de 7000 km de mar que separam Portugal e os Estados Unidos?

Parece-nos que sim.

O assunto é conhecido: O contrato assinado pelo INE e a Cloudflare, empresa de servidores que aloja os dados recolhidos no âmbito dos CENSOS 2021 prevê que os mesmos possam vir a ser transferidos para países terceiros, nomeadamente para os E.U.A., mais propriamente na Califórnia onde a Cloudflare tem servidores e se suspeita que tenham sido transferidos os dados dos CENSOS 2021. A CNPD tomou ainda conhecimento de que o INE não efetuou qualquer avaliação de impacto atendendo ao tratamento de dados sensíveis, condição obrigatória para lançar-se mão a esta avaliação nos termos do art.º 35 do RGPD. No uso dos poderes que lhe foram conferidos, a autoridade de controlo portuguesa decidiu suspender, com efeitos imediatos, num prazo de 12 horas, todas e quaisquer transferências de dados para os Estados Unidos, bem como, outros países terceiros, que não assegurem a conformidade e uma proteção adequada no tratamento dos dados em linha com o RGPD. 

Fazendo uma análise fria e meritória: em primeiro lugar, o facto de estarmos perante uma entidade pública – o INE – não é motivo nem justifica o desrespeito pelas mais elementares regras do RGPD. Aliás, o próprio Regulamento não se aplica somente às entidades privadas, aplica-se também às entidades públicas. Deve ser o Estado, e todas as suas administrações e institutos periféricos a dar o primeiro passo na proteção da confidencialidade dos dados dos titulares, nomeadamente, nos dados de milhões de portugueses – é um fim público.

Por outro, não podemos aceitar que, no caso dos CENSOS 2021, o INE se tenha “esquecido” de recorrer a uma avaliação de impacto nos termos do Regulamento para tratamento de dados sensíveis vertidos nas perguntas efetuadas no questionário.
A gravidade é de tal ordem, que o contrato assinado entre o INE e a Cloudflare permite a transferência de dados para outros países terceiros, sem prejuízo de conhecimento do INE, quando a legislação desse mesmo país obrigar a essa transferência.

A legislação norte-americana em matéria de tratamento de dados e confidencialidade tem sido aquela que potencia e permite uma maior intrusão nos dados dos seus cidadãos e dos cidadãos de outras nações, através de sistemas de espionagem altamente lesivos à confidencialidade e integridade dos dados dos titulares.
A CNPD teve em conta a decisão do TJUE no caso SCHREMS II onde foi declarada a invalidade do chamado Privacy Shield (acordo assinado entre os E.U.A. e a Comissão Europeia onde se prevê um tratamento de dados em solo norte-americano segundo os princípios base do RGPD). O TJUE considerou que a legislação norte-americana não assegura os requisitos necessários à proteção de dados, nomeadamente, a consagração e execução plena da confidencialidade e privacidade dos dados, quer sejam dos seus cidadãos, quer dos cidadãos estrangeiros e cujos dados se encontrem naquele território.

Contudo, a CNPD aborda ainda a questão sobre a possível adoção das chamadas cláusulas-tipo, definidas e aprovadas pela Comissão Europeia, para colmatar e compensar a inexistência de um regulamento que proteja os dados em países em que a legislação não oferece um ordenamento protecionista dos dados pessoais.
No entanto, e tal como, a decisão SCHRENS II a CNPD acaba por concluir que nenhum governo com políticas intrusivas e lesivas da confidencialidade, tendo como fito a segurança e prevenção terrorista, vai acatar quaisquer cláusulas-tipo que prevejam exatamente o oposto do teor dessas mesmas medidas, levando-se à conclusão da insuficiência dessas mesmas cláusulas.

A força destas cláusulas perde-se, quando confrontadas com a dimensão de um país com um historial de atos praticados pela sua Agência Nacional de Segurança (basta recordarmos o caso Edward Snowden e tudo o que veio a público sobre os programas e atos de espionagem levados a cabo pela Administração Norte-Americana).  
Existem várias conclusões a retirar desta história. Em primeiro lugar, a de que no melhor pano cai a nódoa. O INE, como entidade responsável pelo tratamento dos dados, não poderia ter falhado naquele que é, por assim dizer, uma das mais importantes e arriscadas atividades de tratamento de dados (de 10 em 10 anos) em Portugal: os CENSOS 2021 – são tratados os dados de todos os portugueses. A falta de uma avaliação de impacto obrigatória e um contrato pouco clarificador sobre para que países seriam transferidos os dados dos portugueses motivaram, e bem, que a CNPD ordenasse a suspensão da transferência de dados para os Estados Unidos da América ou outros países terceiros, bem como, a suspensão do contrato celebrado pela Cloudflare, por parte do INE. 

De notar o cumprimento imediato da medida suspensiva por parte do INE ou não previsse o regulamento a aplicação de uma coima até € 20.000.000 (vinte milhões de euros) pelo não cumprimento das ordens emitidas pela autoridade nacional (a CNPD) nos termos do n.º 6 do art.º 83.º e do 58.º n.º 1, ambos do RGPD.
O INE nega veementemente todas as suspeitas (apesar das dúvidas e a suspensão do contrato com a Cloudflare) e pediu para que os censos continuem a ser preenchidos. Segundo o Instituto, inexistem dados fora do INE. Já diz o dito popular: só quem está no convento, sabe o que lá vai dentro. Esperemos que tudo não passe de uma profecia de mau gosto com a chancela do selo fakenews. Até lá, vamos aguardando os próximos capítulos. 

Numa altura em que os dados pessoais se assumem como o petróleo dos novos tempos, todo o cuidado é pouco, contudo, e nos tempos que correm, mais vale prevenir do que remediar o mal feito (no entanto, e talvez, já tarde demais). 

David Silvério
DPO CONSULTING

pt_PT