Pela defesa dos direitos digitais em Portugal




Tem sido muito debatida a questão da utilização dos serviços Cloudflare nos Censos 2021, por parte do Instituto Nacional de Estatística (INE), que levou a Comissão Nacional de Protecção de Dados (CNPD) a ordenar a suspensão da utilização desse serviço.

Este texto procura ajudar a explicar o problema e o que está em causa.


Sumário:
- As críticas da CNPD são válidas e justificadas.
- Provavelmente nunca saberemos se houve de facto acesso indevido aos dados, mas tal possibilidade existiu e, mesmo que remota, jamais deveria ter sido permitida e tolerada.
- A realização de uma Avaliação de Impacto sobre a Protecção de Dados teria muito provavelmente evitado o problema.
- A crónica falta de investimento do Estado Português em infraestrutura está a tornar-se um problema de soberania tecnológica, com consequências directas para os direitos fundamentais dos cidadãos portugueses.


 

CDNs e Cloudflare

Content Delivery Network (CDN) é uma rede de fornecimento, entrega e distribuição de conteúdo que visa garantir uma alta disponibilidade e desempenho de um determinado website. Tal é conseguido ao delegar a distribuição de ficheiros estáticos do website (como imagens e outros ficheiros) para os servidores geograficamente dispersos do CDN, aliviando-se assim a carga e tornando mais rápido o acesso ao website original.

Contudo, o serviço da Cloudflare não é um mero CDN. A Cloudflare providencia esse serviço, mas aliado a isso oferece também protecção contra certos tipos de ataques informáticos. Para o fazer, a Cloudflare actua então como intermediária de todo o tráfego dirigido ao website original, protegendo-o e providenciando velocidade de acesso.

Uma analogia: imaginemos que o INE quer receber cartas de todos os portugueses num curto espaço de tempo, mas não dispõe de pessoas suficientes para receber essas cartas, nem tem a infraestrutura necessária e pessoas para irem recolher todas essas cartas. A Cloudflare actua como a empresa que recebe as cartas preenchidas dos Censos, tem a infraestrutura e pessoas necessárias para o fazer, e envia então as cartas que recebe para o INE.

O problema

O uso que o INE procurou fazer da Cloudflare foi precisamente nesse sentido, não só providenciar um acesso rápido ao website mas também protegê-lo contra certos ataques. Infelizmente não foi pensado ou configurado da melhor maneira.

Ao contrário de uma tradicional CDN, que fornece apenas parte dos conteúdos do website original, na Cloudflare todo o tráfego é dirigido primeiro para a infraestrutura da Cloudflare, antes de ser redireccionado para o website de destino. Nesse processo, é a própria Cloudflare que providencia o serviço de gerir e gerar os certificados do tráfego que passa pela sua rede, ao mesmo tempo que é ela própria a autoridade de certificação. Assim, e ao contrário do que acontece normalmente, em que uma autoridade de certificação nunca tem acesso aos conteúdos encriptados com os certificados que emite, neste caso em concreto a própria Cloudflare gera os certificados para os seus clientes, tem acesso às passwords desses certificados e portanto tem a capacidade de desencriptar todo o tráfego destinado ao website original, se assim o desejar.

Continuando a analogia das cartas: para a Cloudflare poder enviar cartas para o INE, vai ter que abrir cada carta que recebeu, meter num novo envelope, e enviar para o INE. Neste processo em que a carta é aberta e posta num novo envelope, a informação contida na carta pode ser fotocopiada ou lida. O INE teria de confiar que durante esse processo a Cloudflare age de boa-fé e não faz nada com as cartas que são dirigidas ao INE, excepto entregá-las.

A ameaça norte-americana

Recentemente o Tribunal de Justiça da UE, numa decisão histórica (Acórdão Schrems II) considerou, pela segunda vez em poucos anos, que devido aos programas de vigilância massiva realizados pelos EUA, conhecidos pelo menos desde as revelações de Edward Snowden, os dados pessoais dos europeus não gozam, nos EUA, de níveis de protecção de direitos equivalente aos existentes na União Europeia. Concluiu que quando esses dados são transferidos para os EUA, existe uma violação dos direitos fundamentais dos cidadãos europeus. A decisão aplica-se a qualquer território fora da UE em que não sejam garantidos semelhantes níveis de protecção de dados pessoais.

Acontece que os EUA têm diversa legislação que obriga as empresas norte-americanas como a Cloudflare a ceder dados às autoridades norte-americanas, mesmo que os dados estejam fora dos EUA. Além disso, quando tal acontece, as empresas norte-americanas são proibidas de o revelar.

Consequências

Quer isto dizer que enquanto o serviço da Cloudflare esteve activo, todo o tráfego do site dos Censos passou pela Cloudflare e portanto pode ter sido interceptado de uma forma que tornou possível a captura dos dados pessoais que os portugueses submeteram nos Censos.

É certo que não sabemos, e provavelmente nunca saberemos, se isso de facto aconteceu. Mas sabemos duas coisas: 1) pode ter acontecido; 2) tal possibilidade, mesmo que remota, jamais deveria ter sido permitida e tolerada.

Não se trata de um problema da Cloudflare, mas da forma como o INE fez uso dos serviços da Cloudflare, já que seria possível configurar o sistema de forma a que o tráfego passasse de maneira segura pela infraestrutura da Cloudflare, sem que esta conseguisse ver os dados em claro.

Os Censos reúnem dados extremamente sensíveis, tanto em quantidade quanto em qualidade. Ainda para mais atendendo ao facto de o INE ter associado todos os dados pessoais que são necessários para fins estatísticos e de estudo da população – e que por isso tinham efectivamente de ser recolhidos – aos nomes completos dos titulares dos dados pessoais. Não se percebe a necessidade de o fazer, à luz do princípio da minimização de dados (RGPD), uma vez que tal informação não é necessária para os fins estatísticos dos censos. Tal associação de informação agrava de forma bastante significativa os riscos relativos ao processamento destes dados.

Tanto o problema tecnológico como a referida não-minimização dos dados teriam muito provavelmente sido detectados e ultrapassados caso o INE tivesse realizado uma avaliação de impacto de protecção de dados, nos termos de Regulamento Geral de Protecção de Dados, o que, tanto quanto sabemos, não aconteceu.

O elefante em cima da mesa

O que ninguém parece realmente querer fazer é tirar as devidas ilações do referido Acordão Schrems II, do Tribunal de Justiça da União Europeia. Portugal tem actualmente um Plano de Recuperação e Resiliência em que um dos pilares é precisamente a Transição Digital, para a qual estão reservados centenas de milhões de euros. Os planos até agora anunciados passam por entregar toda a infraestrutura digital do Estado, incluindo dados de saúde do SNS e dados pessoais das crianças da escola pública às grandes tecnológicas norte-americanas, precisamente aquelas que por omissão não oferecem idênticas garantias aos cidadãos portugueses em termos de protecção de direitos fundamentais, de acordo com o próprio Tribunal de Justiça da União Europeia. A crónica falta de investimento do Estado Português em infraestrutura própria está a tornar-se um problema de soberania tecnológica, com consequências directas para os direitos fundamentais dos cidadão portugueses.