Dados sensíveis: Más práticas nos sites do Estado são frequentes em Portugal

Especialista Manuel Eduardo Correia admite que "são raros os sites em Portugal com preocupações de privacidade", "a recolha de dados pode ser legítima e útil" mas existem várias "más práticas" que devem ser combatidas. Não há indicação que a Google tenha recolhido "dados sensíveis".

"É raro observarmos sites em Portugal com os tipos de preocupações na defesa da privacidade dos seus utilizadores e existe também muito laxismo na forma como se tira partido dos serviços gratuitos, mas muito convenientes, da Google e outros gigantes da Internet." A declaração é do especialista português que analisou para o Expresso alguns sites do Estado como do SNS, Autenticação.gov.pt, Ivaucher.pt, SIRP, PSP e Parlamento.

Manuel Eduardo Correia é pró-reitor para infraestruturas tecnológicas e segurança da informação da Universidade do Porto, mas fala em nome individual e não pela instituição. Sobre a manchete do Expresso, intitulado "Serviços públicos estão a partilhar dados com a Google", desde logo há a indicação que "dados sensíveis" podem estar a ser partilhados indevidamente com a gigante americana. O especialista admite que "não há nenhuma indicação que nestes casos de más práticas nos serviços do Estado tenham sido recolhidos pela Google os tais dados sensíveis". Em alguns casos mais extremos "pode-se estar a falar de temas sensíveis como religião, simpatia partidária, a orientação sexual, os gostos literários, etc".

Más práticas generalizadas

Fomos tentar perceber qual o nível de risco para o utilizador comum, bem como de quem é a culpa da possível "violação grosseira da lei", como admite a advogada Cláudia Fernandes Martins.

Eduardo Correia explica-nos que a responsabilidade aqui passa pela forma como a gestão dos sites é feita, neste caso, pelo próprio Estado e não por quem fornece o serviço de análise ao tráfego de dados - neste caso a Google (que até já respondeu oficialmente e fala em vários mitos e equívocos, explicando que o seu serviço Google Analytics "não serve para fins comerciais").

Um dos exemplos em concreto de más práticas envolve o site www.sns.gov.pt/cidadao. "Claramente ninguém se preocupou com o chamado Content Security Policy e Referer Policy do site", admite, certo é que "são poucos os sites portugueses que não recorrem a estes serviços de análise de tráfego".

O caso concreto dos chamados cookies que incluem rastreadores (são usados para questões tão práticas e úteis para quem gere um site como o tráfego que chega e a sua origem), "por muito anonimizados que digam que os dados sejam, no final, teoricamente podem sempre ser feitas deduções baseadas em metadados que resultam desse rastreamento ao longo do tempo".

As tais políticas que devem estar claras nestes nos sites "são muitas vezes mal configuradas pelos responsáveis técnicos dos sites e são estes pequenos detalhes que depois colocam em risco a privacidade dos utilizadores". Daí que defenda que "os sites dos serviços essenciais do estado devam todos passar por auditorias independentes que avaliassem não só a segurança e robustez do site, mas também o seu grau de cumprimento com as obrigações do RGPD (Regulamento Geral de Proteção de Dados)".

Recolha pode ser legítima e útil

O analista adianta que "o grande problema é do lado de quem gere os sites e dos cuidados necessários, com a falta de informação prestada ao cidadão [necessária para cumprir o RGPD], de que existem dados seus que estão a ser recolhidos e processados por terceiros quando ele usa esses sites (com indicação que dados são)".

Eduardo Correia admite que "essa recolha até pode ser legítima, útil, essencial para o bom funcionamento do site e até melhorar a própria segurança do utilizador, mas isso tem que ser comunicado ao utilizador e em face da natureza sensível de alguns desses sites".

Do ponto de vista técnico tudo seria resolvido com o uso do mecanismo "PIA (Privacy Impact Assessment, uma revisão de processos oficial)". Sobre essa utilização até "deveria ser a CNPD (Comissão Nacional de Proteção de Dados) a pronunciar-se", algo que não é prática em Portugal, nem tão pouco a existência de uma área centralizada do Estado para lidar de forma uniforme com estas questões.

Cookies na base. Punições raras

A advogada especializada em privacidade e sócia da Macedo Vitorino, Cláudia Fernandes Martins, admite que a falha foi a falta de informação dada aos utilizadores que acedem aos sites e lembra que "os cookies, mesmo os mais invasivos, não recolhem nome e email, mas a partir do IP da sessão do utilizador conseguem, por exemplo, perceber quais são as preferências daquele utilizador e construir um perfil".

Se as más práticas nos sites do Estado se confirmarem e "se se mostrar que houve o uso não autorizado pelos utilizadores de cookies intrusivos, é algo grave e há uma clara violação do RGPD". Apesar disso isso não significa necessariamente que os utilizadores devem ficar muito preocupados ou que os seus dados sensíveis foram partilhados à Google, mas sim que o Estado deve "mudar de práticas", explicando que "ainda existem vários equívocos sobre o conceito de dados pessoais e a relação entre os dados pessoais e os testemunhos de conexão, os chamados cookies" (que a Google até que descontinuar).

Mesmo que tudo tenha sido feito por pura negligência, se tiverem sido usados cookies invasivos "isso pode levar à aplicação de pesadas multas em violação do RGPD e da lei da privacidade das comunicações eletrónicas". Apesar disso, as multas têm sido raras (o caso do Censos 2021 ainda está em análise).

O RGPD entrou em vigor há três anos e houve apenas oito coimas ao abrigo da nova legislação, sete em 2019 (no valor de 410 mil euros) e uma em 2020 - nesse ano foram mais coimas, 14, ao abrigo da mais antiga legislação sobre a privacidade nas comunicações eletrónicas. O valor mais alto, de 380 mil euros, dizia respeito a irregularidades no Centro Hospitalar do Barreiro-Montijo, mas a multa foi perdoada pelo contexto pandémico.

Onde mora a culpa?

Eduardo Correia garante que "a responsabilidade está do lado dos serviços públicos que não avisam os utilizadores de que estão a usar os serviços da Google para gerir o site". Os serviços públicos devem inclusive disponibilizar "o teor dos contratos de prestação de serviços que foram de facto feitos com a Google para verificar se foram tido em conta os cuidados que os serviços essenciais do Estado que recorrem a este tipo de serviços da cloud têm que ter em face do RGPD".

A postura aqui seria a mesma se fosse uma empresa portuguesa a fazer estes serviços indica o especialista, embora a Google seja uma gigante nos dados amealhados e desde o ano passado, com o polémico Acórdão Schrems II, o uso de empresas norte-americanas em certas áreas online a nível europeu passou a ficar em cheque.

"Estamos perante um tratamento de dados pessoais que requer as mesmas salvaguardas processuais que estiveram por detrás da decisão da CNPD ter obrigado o INE a retirar o site do serviço da Cloudflare aquando da recolha dos dados para os Censos", indica o especialista. Nesse caso também foi algo que não era da responsabilidade da empresa americana e cujos serviços "podiam ter sido mantidos se houvesse as tais salvaguardas (com o tal PIA e salvaguardas contratuais". Até porque, admite, "do ponto de vista técnico a Cloudflare dá garantias muito razoáveis de que os dados pessoais circulam em data centers na Europa".

A resposta da Google e os "equívocos"

Certo é que Bernardo Correia, Country Manager da Google Portugal explicou num post do blog da empresa que existem seis mitos repletos de equívocos em torno dos dados recolhidos através do Google Analytics, garantindo que "não é um produto de publicidade, mas sim uma ferramenta de análise da web (com versões gratuitas e pagas)".

"Ouvimos o equívoco de que, porque a publicidade é uma parte chave nos negócios da Google, o uso desta ferramenta de medição pelas autoridades de saúde de Portugal equivale, de facto, à "exploração comercial''". O responsável garante que os clientes do Google Analytics, incluindo os serviços do Estado, "não entregam dados sensíveis do utilizador à Google e a mais ninguém".

O que acontece? "[Os sites em questão] retêm a propriedade dos dados recolhidos nos seus websites e a Google apenas armazena e processa o que é necessário para fornecer relatórios agregados sobre o comportamento dos utilizadores nos seus sites, e também conforme requisitado para fornecer e manter o serviço do Analytics". Ou seja, "os donos dos websites, não a Google, controlam como os dados que recolhem com o Analytics nos seus sites são utilizados" e "não há qualquer uso para efeitos comerciais ou de anúncios" por parte da empresa.

No Parlamento

Entretanto, o PSD requereu ontem a audição parlamentar da ministra da Modernização do Estado e da Administração Pública, Alexandra Leitão, para esclarecer a eventual partilha de dados de cidadãos portugueses para exploração comercial de marcas como a Google.

O Governo esclareceu já na sexta-feira que no recurso à utilização do Google Analytics pela plataforma autenticacao.gov.pt, que é transversal a todos os serviços públicos digitais, "não são partilhados dados sensíveis dos cidadãos ou qualquer informação com fins comerciais".

A utilização "para fins estatísticos é alertada à entrada do site, referida na sua política de privacidade, pode ser bloqueada pelo próprio e nunca disponibiliza dados pessoais capazes de identificar o utilizador", lê-se na nota sobre utilização de cookies nos sites do Estado.

Serviços para evitar bots também incluem dados

Outro exemplo de más práticas além do Google Analytics, é a falta de informação dada aos utilizadores sobre o serviço de reCAPTCHA, muito comum para garantir que quem está a interagir com o site é um humano. "Do ponto de vista de segurança e gestão do site faz todo o sentido ter este tipo de serviços e o site do SNS24 usa-o".

Ainda assim, Eduardo Correia diz que "há recolha de dados agressiva no seu uso que devem ser mencionadas e o Estado da Califórnia já o obriga". Para a utilização deste outro serviço da Google alguma da informação recolhida "pode incluir cookies dos últimos seis meses, que incluem informação como a quantidade de cliques feitos no ecrã, a linguagem do navegador ou os plugins instalados no browser".

No "espiar" é que está o ganho?

Hoje já sabemos bem que vivemos numa sociedade em que a informação sobre nós, inclusive sobre os nossos hábitos, preferências e desejos mais secretos têm um valor comercial mas também de utilidade e eficiência pessoal que é, em muitos casos, usada para efeitos comerciais. Aí estão os dados que colocamos e a nossa atividade no Facebook - inclui Instagram e companhia - ou na Google - inclui YouTube - mas existem bem mais casos, muito focados na utilização global de internet (cada vez maior no telemóvel) e que também envolve empresas mais pequenas (o anúncio da Google que quer deixar de usar cookies enfureceu milhares de pequenas empresas europeias).

Em troca de vários serviços gratuitos, os gigantes tech ganham com a publicidade direcionada, teoricamente de forma mais certeira. Facebook e Google são um duopólio mundial da publicidade online (mais de 86%) e, até agora, sempre em crescimento.

Mas, apesar de tudo, serviços como o Google Analytics ou outros, que são ferramentas importantes para qualquer site, são bem diferentes dos mais mediáticos que vivem da publicidade e são usados pela maioria dos portugueses. A questão aqui passa também por boas práticas que raramente são seguidas e que fazem parte do RGPD - cuja aplicação ainda só funciona por denúncia por manifesta falta de meios da CNPD.

Sobre esta questão recente de limitar os gigantes tecnológicos americanos na Europa, um relatório recente explica mesmo porque é que as PME europeias também têm muito a perder em termos de inovação com as novas leis na calha a nível europeu - neste caso, o Digital Market Act, ainda à espera de aprovação - e o Twitter juntou-se às críticas.

Certo é que é difícil imaginar (também não é esse o objetivo pretendido pela Comissão Europeia) uma internet (e respetivo hardware e software) na Europa e em Portugal sem os gigantes tecnológicos americanos dominantes. Como se viu recentemente com o bloqueio dos EUA à Huawei, sem o software americano - o chinês não é opção pelos motivos políticos conhecidos - é difícil estar ao mesmo nível do resto do mundo.

João Tomé é jornalista do Dinheiro Vivo

Mais Notícias

Outras Notícias GMG