É cada vez mais indiscutível que a digitalização de serviços e a criação de sistemas de informação é fundamental em qualquer país que se queira desenvolvido. Foi graças à digitalização existente que muitos dos serviços do Estado não pararam durante o último ano e que se conseguiram continuar a receitar medicamentos, pagar serviços e renovar contratos. A partilha destes dados é também necessária não só para o próprio funcionamento dos sistemas mas também para os avaliar e desenhar melhorias. Naturalmente, os dados que os cidadãos cedem ao Estado, muitos de forma obrigatória, têm de estar sujeitos aos maiores cuidados. Preocupações sobre a sua recolha, armazenamento, partilha e utilização são perfeitamente legítimas.

Esta semana soubemos que o INE tinha assinado um contrato com a norte-americana Cloudflare para apoiar os Censos 2021 e que uma alínea nesse contrato a autorizava a transportar dados de todos os cidadãos portugueses para os EUA. Esta é uma empresa especialista em segurança e é possível que isto não passe de desinformação: o rumor começou numa página pouco aconselhável do Facebook e a empresa apenas terá tido acesso à informação sobre os inquéritos e não ao seu conteúdo. Saberemos mais nos próximos dias. Mas que a gestão de dados pessoais possa ser usada para desacreditar os sistemas torna claro três pontos que nunca são discutidos: 1) a enorme dependência de empresas privadas e estrangeiras na gestão de serviços essenciais do Estado; 2) as limitações dos mecanismos de vigilância e de protecção de dados; e 3) o enorme desconhecimento dos cidadãos sobre sistemas de informação e o seu funcionamento.

Dados de saúde, financeiros, de afiliação política e religiosa, entre outros, são considerados sensíveis pelo Regulamento Geral de Protecção de Dados (RGPD) e quaisquer quebras deveriam dar origem a multas avultadas. Mas a verdade é que é muito difícil perceber a extensão das falhas de segurança e de partilha de dados dentro dos serviços públicos. Por um lado, denúncias internas são raras e comentários externos são muitas vezes sentidos como ataques às instituições e não como tentativas legítimas de as melhorar. Os serviços ofendem-se e fecham-se. Por outro, a CNPD deixou de ter responsabilidades de regulação do sistema, ficando limitada a um papel de fiscalização. 

Tanto quanto me lembro, o lançamento da aplicação de rastreio de contactos StayAway Covid gerou em Portugal a primeira discussão alargada sobre riscos da partilha de dados com o Estado. Os que a desenvolveram defenderam-se com a garantia de anonimato, mas muitos críticos apontaram a dificuldade de o assegurar quando duas gigantes americanas, a Apple e a Google, estavam por trás do código que a sustentava. Em parte, esta polémica foi criada pelo próprio esforço de transparência, mas o medo de falhas na protecção de dados pode ter sido uma das causas do seu insucesso.

Preocupações anteriores, com a utilização quase exclusiva de sistemas da Microsoft (outra gigante dos EUA) nos serviços públicos, ou com a centralização de dados num cartão de cidadão, não interessaram a população em geral. De facto, não parece ser causa de alerta que serviços que gerem dados tão sensíveis como os do SIRESP ou os que oferecemos ao SNS24 sejam geridos pela francesa Altice. Que analistas da também francesa Altran sejam responsáveis por gerir partes significativas dos SPMS, com acesso a informação de saúde não anonimizada, e que muitos destes dados estejam alojados em plataformas Microsoft, localmente ou na chamada nuvem. Mais uma vez, a utilização destas plataformas e serviços é muitas vezes inevitável, mas deveria vir acompanhada de cuidados redobrados.

Cientistas que peçam acesso a dados anonimizados ou pseudo-anonimizados do Estado são comummente obrigados, e bem, a fazer pedidos que descrevam o objectivo da investigação, justificando as suas potenciais vantagens e se estas se sobrepõem aos riscos. Devem incluir uma descrição explícita de todas as variáveis (“need to know basis”) e como os dados serão tratados e armazenados. Estes pedidos só são considerados se vierem acompanhados de uma aprovação prévia das suas instituições, na sequência de avaliações de risco(s), declarações de responsabilidade individuais, relatórios éticos e de gestão de dados.

Apesar de o RGPD prever excepções para a investigação científica, todo este processo atrasou e por vezes até impediu o acesso da comunidade científica a dados críticos que poderiam ter sido muito úteis ao apoio à decisão durante a própria pandemia. No entanto, uma avaliação recente da CNPD ao Trace-COVID, o sistema de rastreio de contactos da pandemia, identificou várias fragilidades e falhas no cumprimento do RGPD na sua relação com terceiros, incluindo o acesso a dados não anonimizados, apenas perdoáveis pelo estado de emergência. E será que outros sistemas já existentes não sofrem dos mesmos males sem que isto tenha gerado alerta? Segundo o website da CNPD, o seu último parecer sobre serviços do Ministério da Saúde é de 2015, data muito anterior à entrada em vigor do Regulamento Geral.

Certamente não defendo um retrocesso na digitalização, mas a ausência de cuidados com os nossos dados e de avaliação à sua gestão torna a desinformação credível e gera situações como a actual, em que o pedido de suspensão de utilização da Cloudflare pode até piorar o sistema, em vez de o melhorar. O medo e a desconfiança nas instituições combate-se com mais transparência e com entidades reguladoras fortes. Escrutínio e pressão pública, precisam-se.

Declaração de interesses: a autora não tem qualquer ligação a nenhuma das empresas mencionadas mas é supervisora de um especialista em criptografia que trabalhou até Outubro de 2020 para a Cloudflare. A autora e o seu grupo de investigação tiveram, têm e procurarão ter acesso a dados do Estado, ao abrigo de projetos de investigação, sempre pseudo-anonimizados e depois de cumpridos os requerimentos legais e institucionais.