É conhecido pelos seus projetos de serviço público (fogos.pt, suprimidos.pt ou janaodaparaabastecer.pt) e também por detetar e expor falhas ou vulnerabilidades em sites e sistemas sejam de empresas ou do próprio Estado. Chama-se João Pina, mas no Twitter dá pelo nome de Tomahock, e é o nosso convidado para o resumo da semana tecnológica.

Em destaque está a alegada fuga de dados dos Censos 2021 para os EUA, mas também falamos sobre o passaporte covid europeu (o Certificado Verde Digital) que deve chegar (se a legislação ajudar) já em junho, sobre o projeto de serviço público VOST Portugal e o que trouxe aos portugueses (e ao próprio Estado) durante a pandemia, os ganhos recorde das big tech Apple, Amazon, Facebook, Google e Tesla (que teve lucros de 100 milhões de dólares só com bitcoin) e ainda o que João Pina chama do "grande flop que é o 5G".

A conversa completa:

Resumo da (não) fuga de dados dos Censos 2021

A Comissão Nacional de Proteção de Dados (CNPD) ordenou na terça-feira o INE (Instituto Nacional de Estatística) a deixar de usar os serviços da empresa norte-americana Cloudflare no Censos 2021 devido a possível "envio de dados dos Censos para os EUA", dando resposta a queixas feitas, após um polémico post de Facebook - repleto de dados incorretos. O que está em causa e foram mesmo os dados de 6 milhões de portugueses enviados para os EUA? A Cloudflare - que é a referência mundial a providenciar serviços de segurança online para tornar os sites e apps mais seguros e rápidos (o chamado CDN, Content Delivery Network) - garante que não.

O mesmo diz o presidente do INE, que explica que os dados são armazenados nos servidores do Instituto e o serviço prestado pela Cloudflare é de segurança e de agilidade do site, admitindo que o acesso ao Censos 2021 podem ficar mais lento pela falta do serviço da empresa americana.

O Centro Nacional de Cibersegurança garantiu ao Dinheiro Vivo que analisou todo o site e a infraestrutura de armazenamento de dados do Censos 2021 e o validou em termos de segurança, mas não quis comentar a decisão da CNPD, que terá sido mais jurídica do que técnica.

Ao DV, a Cloudflare que serve cerca de 16% dos sites e apps da internet e já chegou à China, explica que "nunca houve transferência de dados para os EUA" e critica a CNPD, indicando que a sua análise "não reflete de forma correta o serviço que providenciamos" e que a Cloudflare "nunca deu acesso a conteúdo que transita na sua rede em resposta a um pedido de um governo" e em 2012 bateu-se mesmo em tribunal para não ceder dados ao FBI e... ganhou.

João Pina garante que "a CNPD está a criar um precedente muito errado" e que "o atual funcionamento base da internet não consegue garantir que o tráfego não dê a volta ao mundo até chegar ao servidor de destino". Mais importante para alguém que até costuma encontrar e reportar vulnerabilidades na internet é que a Cloudflare "obviamente que não está a espiar o conteúdo nem sequer armazena as respostas das pessoas aos censos", é apenas um operador de trânsito online. A Cloudflare garante ainda que "o tráfego é encriptado entre cliente e o servidor" (que não é o seu) e que cumpre o RGPD (Regulamento de Dados europeu) - na descrição do seu serviço diz mesmo:"não temos acesso ou controlo dos dados que os clientes transmitem".

A CNPD faz uso rigoroso do novo e polémico Acórdão Schrems II, do verão de 2020, que "invalidou o envio de dados (em grande número ou sensíveis) para os EUA", devido às suas leis que permitem maior acesso a dados (como se viu no caso Snowden) - algo que promete complicar a vida no setor público e privado

O especialista em proteção de dados da SRS Advogados, Luís Neto Galvão, diz-nos que a CNPD faz uso rigoroso do novo e polémico Acórdão Schrems II, do verão de 2020, que "invalidou o envio de dados (em grande número ou sensíveis) para os EUA", devido às suas leis que permitem maior acesso a dados (como se viu no caso Snowden) - algo que promete complicar a vida no setor público e privado. Até ao momento, não se conhecem decisões semelhantes sobre este tipo de empresas norte-americanas (que nem sequer prestam serviço de armazenamento de dados) na Europa por outros dos reguladores.

Sobre a decisão da CNPD, admite que o INE poderia ter-se protegido melhor não só nos termos do contrato com o Cloudflare, mas também nas explicações sobre o serviço prestado pela empresa norte-americana para evitar a polémica.

Entretanto, o Bloco de Esquerda quer chamar ao Parlamento o presidente do INE.

A CNPD, se determinar uma contraordenação muito grave ao INE, pode aplicar multa até 20 milhões de euros. João Pina explica que é prática comum, mesmo no Estado, o recurso aos serviços de empresas americanas no tal CDN e o Portal das Finanças (onde se entrega o IRS) e das Eleições usam serviços da americana Akamai. "Os sites ficam mais lentos e vulneráveis a ataques sem estes serviços, que podem ser feitos por empresas nacionais mas costumam ser mais caros e ter menos proteções", admite.