O presidente do Instituto Nacional de Estatística admite que, "se conseguisse antever todas estas questões", teria lidado de outra maneira com a questão da contratação da Cloudflare para a segurança do site dos Censos.
Em entrevista à Renascença, Francisco Lima afirma que o INE "precisava de ter apostado mais na clareza, uma clareza jurídica que não levantasse dúvidas quanto ao cumprimento do RGPD".
Uma das falhas que a Comissão Nacional de Proteção de Dados (CNPD) aponta ao instituto é o facto de não ter pedido uma avaliação de impacto quanto a esta operação específica sobre os dados pessoais.
No entanto, o responsável do INE considera que a razão, na substância, está do seu lado.
"Hoje em dia é fácil, sim faria diferente, provavelmente teria feito de outra maneira. Mas essa é a conclusão lógica, porque obviamente, mesmo que tenhamos toda a razão do nosso lado, o facto é que suscitou dúvidas à CNPD. Mesmo que se prove que a CNPD não tem razão no que levou àquela deliberação, o facto é que suscitou dúvidas".
Francisco Lima voltou a sublinhar que os dados das respostas dos Censos nunca saíram da União Europeia.
"Os servidores usados pela Cloudflaire para prestar o serviço de segurança e de desempenho do site são servidores que estão que estão na Europa, que não estão nos Estados Unidos. Estão aqui próximos, porque é o que é lógico, estar aqui próximos do servidor final que é o do INE", garante.
No entanto, aquilo que a deliberação da CNPD aponta não é isso: o que o regulador diz é que no contrato subscrito pelo INE estava plasmada a possibilidade de os dados passarem por servidores em todo o mundo, incluindo nos Estados Unidos.
"Essa é a interpretação da CNPD", responde o docente do Instituto Superior Técnico.
Questionado pela Renascença se, nas negociações com a Cloudflare, receberam a garantia de que os servidores usados seriam os da União Europeia, Francisco Lima responde que sim, "porque o que a Cloudflare diz é que cumpre o RGPD. Tem uma série de certificações. Quando nos relacionamos com uma empresa, não falamos com alguém que não nos dá as garantias de que está a cumprir o RGPD".
Na ótica de Francisco Lima, a partir do momento em que diz que cumpre o RGPD, a empresa só pode utilizar servidores localizados na União Europeia.
No entanto, não é isso que está no contrato assinado pelo INE – um contrato "self-serve", ou seja, que não foi negociado diretamente com o instituto. No contrato, nunca é mencionado que os dados recolhidos na União Europeia só passarão por servidores dentro da UE.
Alias, na secção do site da Cloudflare dedicada ao RGPD, a empresa afirma que cumpre o regulamento europeu, mas prevê o trânsito dos dados pessoais para qualquer um dos 200 servidores da Cloudflare em todo o mundo, incluindo os Estados Unidos.
A empresa fala até do acórdão do Tribunal de Justiça da União Europeia mencionado pela CNPD para justificar esta decisão – o acórdão "Schrems II". E promete que, caso o governo norte-americano faça um pedido de dados protegidos pelo RGPD, a empresa prosseguirá com ações na justiça.
Segundo a CNPD, "uma vez dentro da rede CDN da Cloudflare, o INE não tem forma de saber se o tráfego está a ser dirigido para servidores situados no território de países da União Europeia ou residentes em qualquer outra zona do globo".
"As palavras são importantes"
Para o presidente do INE, o principal problema da deliberação da CNPD foi "a forma como comunicou".
Francisco Lima confessa-se "algo surpreendido com a forma como a CNPD apresenta" os argumentos e "com a forma como as palavras têm poder".
"Uma coisa é a deliberação, mas o primeiro impacto é a forma como apresenta o comunicado", considera o professor.
"Quem leia o comunicado e não saiba o que se passa fica na dúvida: então os meus dados foram para os EUA?"
Foi por isso que o INE decidiu suspender o contrato ainda antes de a CNPD publicar a deliberação. O regulador esteve no INE na segunda-feira para uma ação de fiscalização e o instituto ficou aí a saber qual seria o sentido da deliberação. Por isso, decidiu tomar logo ação.
"A única forma que nós temos de demonstrar imediatamente à população que não há nenhum fluxo de dados para os Estados Unidos é acabar com a relação com a Cloudflare".
"Tenham um pouco de paciência se o site estiver mais lento"
Terminado o contrato com a Cloudflare, o presidente do INE garante que a segurança dos dados está garantida – a consequência principal deverá estar na lentidão.
"No fim-de-semana é natural que haja um maior fluxo, tenham um pouco de paciência se o site estiver tiver mais lento. Também se tiverem algum problema podem ligar para a linha de apoio, mas pode estar mais lento. Estamos a trabalhar internamente para que não aconteça, mas pode ter interrupções temporárias do serviço", diz Francisco Lima.
Até agora, já responderam aos Censos quase 8 milhões de pessoas. O prazo para submeter as respostas termina a 3 de maio.