"Quanto mais este regime totalitário, corrupto, nepotista, manipulador, opressor, fantoche e neo-feudal quiser saber sobre nós, menos se lhe diz… Os inquéritos do Censos contêm um código que permite identificar, sem margem para dúvidas, quem nós somos e onde moramos. (…) Pior ainda: o site do INE, para o qual devem ser enviados os inquéritos preenchidos eletronicamente, está alojado na Califórnia, sob o controlo de uma empresa privada estadunidense, de nome Cloudflare. Esta empresa tem um longo historial de práticas criminosas, sendo, desde logo, famosa por ser seu costume apropriar-se, ilegalmente e sem consentimento, de todo o tipo de dados pessoais dos cidadãos", alega-se no texto da publicação.

"Se souberdes fazer um nslookup, ou usar ferramentas do género, podereis vós mesmos confirmar o que vos digo. Ou então podereis questionar diretamente o INE sobre este escândalo. Este Censos é pois ilegal e inconstitucional, consubstanciando a forma como está a ser conduzido e operacionalizado a prática de inúmeros ilícitos criminais previstos e punidos pela Lei de Proteção de Dados Pessoais", conclui-se.

Esta denúncia tem algum fundamento?

Questionado pelo Polígrafo sobre as supracitadas alegações, o Instituto Nacional de Estatística (INE) começa por assegurar que "enquanto autoridade produtora de estatísticas oficiais, pauta a sua atuação de acordo com o cumprimento rigoroso do princípio do segredo estatístico, segundo o qual a informação recolhida e tratada é confidencial e se destina apenas a fins estatísticos".

"Todos os dados provenientes da recolha dos Censos 2021 são alvo de validação e posterior tratamento, o que inclui a necessária anonimização de qualquer referência individual", sublinha o INE.

Relativamente à localização do servidor do site "para o qual devem ser enviados os inquéritos", supostamente "alojado na Califórnia", o INE garante que "não há alojamento de dados fora do instituto, quer em geral, quer no caso dos Censos em particular".

Por outro lado, a mesma fonte confirma que a referida empresa Cloudflare presta serviços ao INE, mas ressalva que se trata de "serviços de desempenho e segurança e não de alojamento".

O Polígrafo contactou também a empresa norte-americana em causa, especializada em cibersegurança, a qual informou que "atua na área de proteção de sites contra ataques informáticos" e garantiu que "não aloja o site mencionado".

A Cloudflare indica que "tem servidores em Portugal, uma vez que são necessários para prestar os seus serviços aos clientes no país". No entanto, assegura que os dados não são enviados para os EUA. "Estamos comprometidos em manter todas as informações pessoais e sensíveis privadas. Não vemos nem vendemos dados pessoais", concluiu.

Como é que funciona o serviço da Cloudflare?

Em declarações ao Polígrafo, Pedro Sousa, especialista em cibersegurança da empresa Innowave, explica como é que funciona o serviço que a Cloudflare presta ao INE. "Na sua vertente de segurança, a Cloudflare forma uma camada de proteção que fica entre os clientes e o site, protegendo este de ataques maliciosos que tenham como objetivo afetar a sua disponibilidade", descreve.

Quanto ao alegado "historial de práticas criminosas", Pedro Sousa realça que "como em qualquer serviço disponibilizado online, a Cloudflare tem clientes das mais variadas áreas empresariais, sociais e políticas, gerando muitas vezes polémica", não pela apropriação indevida de dados mas, contrariamente, "pela sua política de não filtragem de conteúdos".

O site do INE está alojado nos EUA?

No post indica-se que basta efetuar um "nslookup" - ou seja, uma pesquisa pelo Endereço de Protocolo da Internet (Endereço IP) do servidor do site - para verificar que se encontra alojado na Califórnia, EUA.

Ora, de acordo com a informação disponibilizada na página da Cloudflare, ao procurar o Endereço IP de um servidor protegido pelo serviço da empresa, "é aplicada uma máscara sobre o IP de origem, enviando-se um IP da Cloudflare [neste caso na Califórnia] em vez do IP do servidor procurado [neste caso o INE] e, desta forma, impede-se que atacantes consigam aceder diretamente ao servidor de origem, ultrapassando o serviço de segurança prestado".

Os dados pessoais estão protegidos?

Em resposta ao Polígrafo, o INE assegura que a operação Censos 2021 "respeita toda a legislação relativa à Proteção de Dados Pessoais, nomeadamente o Regulamento Geral de Proteção de Dados (RGPD) e a lei nacional que o executa".

"Nos termos da Lei do Sistema Estatística Nacional (Lei 22/2008), o INE pode recolher e tratar dados pessoais e sensíveis. Também a legislação específica dos Censos 2021 (Decreto-lei 54/2019) estabelece regras sobre a proteção de dados, nomeadamente a sua segurança e o exercício dos direitos dos titulares", sublinha.

"Ao abrigo da lei todas as respostas individuais são confidenciais, não podendo o INE divulgá-las individualmente nem utilizá-las para outros fins que não os estatísticos. Os dados individuais nunca serão facultados a outros organismos da administração pública ou entidades/empresas públicas ou privadas. Os recenseadores, bem como todos os profissionais envolvidos neste projeto, estão obrigados por lei ao dever de sigilo", informa o INE.

Por sua vez, Diogo Duarte, jurista e especialista em Proteção de Dados, salienta que "o INE, enquanto instituto público de regime especial, integrado na administração indireta do Estado, dotado de autonomia administrativa, tem por missão produzir e divulgar de forma eficaz, eficiente e isenta, informação estatística oficial de qualidade, relevante para toda a sociedade, assumindo, para efeitos do Regulamento Geral sobre a Proteção de Dados (RGPD), a qualidade de responsável pelo tratamento de dados".

O jurista explica que "a obrigatoriedade de assegurar que o tratamento de dados pessoais decorre em segurança emana diretamente do princípio da integridade e confidencialidade, previsto no artigo 5.º, n.º 1, alínea f) do RGPD, que impõe que os dados sejam tratados 'de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas'".

"O INE deverá ainda incluir no registo das atividades de tratamento de dados, conforme disposto no artigo 30.º do RGPD, uma descrição geral das medidas técnicas e organizativas que haja adotado e implementado no domínio da segurança", afirma Diogo Duarte. "Caso o titular dos dados considere que o tratamento dos dados pessoais que lhe diga respeito viola o RGPD, poderá exercer, a qualquer momento, o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados, a qual dispõe de poderes de investigação para realizar investigações sob forma de auditorias sobre a proteção de dados".

Os Censos 2021 são inconstitucionais?

Em relação à denunciada inconstitucionalidade dos Censos 2021, José Belo, jurista especialista em Proteção de Dados, aponta em sentido contrário: "Os Censos 2021 não são inconstitucionais, uma vez que existe um regulamento europeu - Regulamento (CE) 763/2008 - que os exige e, portanto, entra aqui o artigo 8º/4 da Constituição que diz, grosso modo, que os tratados que Portugal assina internacionalmente prevalecem".

Também Diogo Duarte assegura que, apesar de pertencerem ao catálogo de direitos fundamentais estabelecidos na Constituição da República Portuguesa (CRP), "o direito à privacidade e o direito à proteção de dados não se configuram como direitos absolutos".

"Neste contexto, a lei desempenha uma função essencial quer na concretização e definição do conteúdo dos direitos fundamentais, quer na previsão das suas limitações ou imposição de restrições específicas. Aliás, a própria CRP, no referente ao direito à proteção de dados pessoais, estabelece, a título de exemplo, sob o disposto do n.º 2 do artigo 35.º, que 'a lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua proteção, designadamente através de entidade administrativa independente'", conclui.

__________________________________________

Atualização: Este artigo foi escrito antes de o INE suspender a subscrição de serviços com a empresa norte-americana Cloudflare. Através de comunicado, a Comissão Nacional de Proteção de Dados (CNDP) informou, no dia 27 de abril, que "no seguimento de algumas queixas sobre as condições de recolha de dados dos Censos através da Internet, procedeu a uma rápida investigação, tendo concluído que o INE recorreu à empresa Cloudflare Inc. para a operacionalização do inquérito censitário, que prevê no seu contrato a transferência de dados pessoais para os EUA".

Segundo a CNDP, a Cloudflare, por estar sediada na Califórnia, e pelo tipo de serviços que fornece, "está diretamente sujeita à legislação norte-americana de vigilância para fins de segurança nacional, a qual lhe impõe a obrigação legal de dar acesso irrestrito às autoridades dos EUA aos dados pessoais que tenha na sua posse ou à sua guarda ou custódia, sem que possa disso dar conhecimento aos seus clientes".

Artigo atualizado no dia 28 de abril, às 15h30.

__________________________________________

Avaliação do Polígrafo:

Siga-nos na sua rede favorita.
Falso
International Fact-Checking Network