O Instituto Nacional de Estatística (INE) "não demonstrou até agora" que os dados dos Censos "só circularam por países da UE", afirmou esta quarta-feira no Parlamento a presidente da Comissão Nacional de Proteção de Dados (CNPD). "Na modalidade do contrato subscrito pelo INE não está acautelado que os dados não circulassem por países terceiros sem proteção de dados adequada", declarou Filipa Calvão, que esteve numa audição na Comissão parlamentar de Assuntos Constitucionais, Direitos, Liberdades e Garantias. 

A audição foi agendada a pedido dos deputados de vários partidos na sequência da decisão da CNPD de mandar o INE suspender "qualquer transferência internacional de dados pessoais para os EUA ou outros países terceiros sem nível de proteção adequado, no âmbito dos inquéritos do Censos 2021". Basicamente, recorde-se, a Comissão concluiu que "o INE recorreu à empresa Cloudflare, Inc. para a operacionalização do inquérito censitário, que prevê no seu contrato a transferência de dados pessoais para os EUA".

No Parlamento, Filipa Calvão voltou a repetir todas as suspeitas levantadas pela CNPD, deixando fortes críticas ao contrato realizado pelo INE com a empresa norte-americana que, diz, "não acautelou a proteção dos dados". E quanto aos dados dos seis milhões de pessoas que já tinham respondido ao Censos quando a CNPD ordenou a suspensão, "o INE não pode adotar mais nenhuma medida para proteger os dados pessoas que circularam por servidores que não sabe onde estão situados", ou seja, "o que tenha acontecido já aconteceu aos dados de seis milhões de residentes", rematou.

"Esta concreta modalidade de serviços subscrita pelo INE traz riscos para a proteção de dados pessoais", sublinhou a responsável. Comentando o facto de a Cloudflare ter vindo, entretanto, garantir que os dados pessoais dos inquéritos respondidos até à data da suspensão nunca saíram de território nacional, Filipa Calvão afirma que a empresa "não demonstrou essa afirmação, nem vai demonstrar, porque isso implicaria expor o algoritmo" que é "o seu segredo de negócios".

Por outro lado, apesar de a empresa ter garantido que notificaria o INE caso tivesse sido contactada pelas autoridades americanas para fornecer algum tipo de dados, o certo é que por força até do que está previsto no próprio contrato, "estaria sempre sujeita ao dever de, perante as autoridades americanas, permitir o acesso aos dados, se estas o tivesse exigido", acrescentou. E isso "independentemente de os dados terem ou não saído" de território nacional ou europeu. "Ainda que declare que nunca o faria e que iria para tribunal se a tal fosse obrigada, no contrato afirmam que são obrigados a mostrar esses dados" e "em rigor estão proibidos pela lei norte-americana de notificar o cliente", neste caso o INE, concretizou Filipa Calvão.

Um dos serviços prestados pela Cloudflare no âmbito do contrato com o INE era aumentar a dimensão da rede, multiplicando a resposta possível por vários servidores. No final a informação fica sempre nos servidores do INE, mas entretanto as respostas andaram em trânsito pelos servidores da Cloudflare, que tem sede na Califórnia. E, como refere a CNPD na sua deliberação, o contrato "prevê o trânsito dos dados pessoais para qualquer um dos 200 servidores" usados pela Cloudflare, "bem como a transferência de dados pessoais para os EUA".

A utilização, na UE, dos serviços de empresas norte-americanas foi já apreciada pelo Tribunal de Justiça da União Europeia (TJUE) no caso "Schrems II, que concluiu, precisamente, que a legislação dos EUA "possibilita ingerências nos direitos fundamentais das pessoas, baseadas em requisitos relativos à segurança nacional e ao interesse público, que podem resultar no acesso a dados pessoais transferidos da UE para os EUA e da utilização desses dados no âmbito de programas de vigilância" com base no FISA, o "Foreign Intelligence Surveillance Act" 

"O TJUE é claríssimo: a mera possibilidade de os dados serem enviados e transitarem por território de um estado sem uma proteção adequada e de se permitir que seja exigido o acesso a esses dados, essa mera possibilidade tem de ser acautelada e não pode existir em caso algum, como aqui acontece", frisou a presidente da CNPD. 

A CNPD prossegue ainda a sua "avaliação deste tratamento de dados, para verificar o grau de ilicitude e espera em breve ter o projeto de deliberação", disse Filipa Calvão aos deputados que, da esquerda à direita e com exceção do PS - que disse não estar demonstrada qualquer violação -  manifestaram preocupação sobre o contrato realizado com a Cloudflare e as consequências que apelidaram de gravíssimas em termos de proteção de dados.