Margrethe Vestager, comissária europeia para a competitividade, assegurou ontem durante a uma conferência na Web Summit que não houve dados de autarcas “copiados nem revelados” em Bruxelas. A responsável referia-se à notícia veiculada ontem e que dava conta de que dados pessoais de várias câmaras municipais de países da União Europeia (UE) estiveram acessíveis aos utilizadores na plataforma Wifi4EU – um programa lançado pela Comissão Europeia que pretende disponibilizar uma rede de wifi gratuita em vários espaços públicos.
Segundo o “Jornal de Notícias”, os utilizadores da plataforma Wifi4EU tiveram acesso, em maio deste ano, a dados pessoais de vários presidentes de câmara da UE – como moradas, números de telefone e cópias de cartões de cidadão. De acordo com o relatório técnico da Direção-Geral das Comunicações da Comissão Europeia, citado pelo mesmo jornal, os dados expostos na plataforma pertenciam a 11.402 câmaras, das quais 241 eram portuguesas.
Apesar da gravidade da situação, a responsável afirmou que há um lado positivo no caso: “Se retiramos alguma coisa positiva do caso é que nenhuns dados foram copiados ou revelados, a parte mais problemática é que estiveram acessíveis”, afirmou a comissária. A nova versão da plataforma “é segura como devia ser”, porque a falha já foi “reparada”, completou.
Em comunicado, a Comissão Europeia já tinha feito saber que “não houve qualquer fuga nem manipulação de dados, nem de autarcas portugueses nem de outros autarcas da UE, que se candidataram ao primeiro convite à apresentação de propostas” da plataforma.
Contactada pelo i, a Comissão Nacional de Proteção de Dados (CNPD) explica que a falha de segurança que ocorreu no portal “é sem dúvida preocupante, tendo posto em causa o princípio da confidencialidade dos dados”.
A entidade revelou ainda que irá pedir “esclarecimentos sobre este caso à sua congénere que fiscaliza as instituições e órgãos da União Europeia em matéria de proteção de dados pessoais, e nessa medida supervisiona os tratamentos de dados realizados pela Comissão Europeia, que é a Autoridade Europeia de Proteção de Dados (AEPD), para conhecer com rigor a extensão e gravidade da situação”.
João Ferreira Pinto, advogado, sócio responsável pela área de prática de TMT/Privacy e Cibersegurança da Sociedade Antas da Cunha Ecija & Associados, disse ao i que este tipo de falhas de segurança são sempre graves e que “quanto mais sensíveis forem os dados, maior a gravidade”.
Segundo o advogado, uma violação dos dados pessoais pode trazer perigos graves para os lesados: “Vão desde danos reputacionais”, “exposição de dados pessoais que podem vir a ser utilizados indevidamente por terceiros” e “danos que podem ir até ao risco para a integridade física e moral de uma pessoa se foram relevados dados relativos à sua geolocalização”.
O especialista explicou ainda que a política de privacidade e proteção de dados “constitui um compromisso jurídico entre a entidade que tem a responsabilidade pelo tratamento dos dados e a pessoa cujos dados são tratados”. “A proteção de dados e das pessoas é muito mais do que uma mera declaração de boas intenções. É uma obrigação legal (…). Trata-se de um Direito Fundamental plasmado na Carta Europeia dos Direitos Fundamentais (2009) e em Portugal é um Direito protegido pela Constituição desde 1976”, acrescentou.
Relatório revela falhas
De acordo com o relatório de segurança publicado em agosto e a que o i teve acesso, no dia 15 de maio de 2018 a Comissão Europeia foi alertada, por uma empresa de informática de “duas potenciais vulnerabilidades” que estavam a afetar a plataforma.
“Depois de uma primeira análise com a fonte da informação, os serviços da comissão decidiram suspender o funcionamento do portal online, para evitar qualquer possível dano aos dados dos cidadãos e/ou à sua integridade”, pode ler-se no documento.
A situação começou a ser investigada, tendo sido encontrados dois problemas com a plataforma: um deles relacionava-se com o facto de permitir aos utilizadores do serviço ter acesso e até poder fazer download de documentos de outros candidatos registados, incluindo dados pessoais – como detalhes de contacto e um comprovativo de identidade.
Este problema, “desencadeou uma investigação detalhada para examinar se, além da atividade vinculada diretamente à identificação da vulnerabilidade, essa exposição potencial de dados foi explorada por terceiros. A análise dos dados disponíveis revelou apenas acesso a dados mínimos sem evidência de intenção maliciosa”, diz o documento, explicando que na sequência da falha foram tomadas medidas para proteção de dados.
O relatório revela ainda que foram feitas “verificações de segurança total adicionais” antes do lançamento do portal – que começaram ontem e permanecerão até sexta-feira.
“Não houve qualquer manipulação dos dados no portal WiFi4EU, nem provas de qualquer acesso malicioso aos dados armazenados no sistema”, concluiu o relatório.
