Home » Notícias

Sites do Estado enviam dados para a Google

25 de Junho de 2021


Os principais endereços do Sistema Nacio­nal de Saúde (SNS) têm disponibilizado dados dos cidadãos para exploração comercial da Google e de outras marcas ligadas à publicidade. Além de dados de tráfego, como os que são recolhidos pelo serviço Google Analytics, os endereços SNS24.pt e SNS.gov.pt recolhem dados para campanhas publicitárias através do serviço Doubleclick. O Expresso usou algumas ferramentas de monitorização de tráfego que permitiram apurar que a recolha de dados também contempla áreas que o SNS.gov.pt disponibiliza para utentes, agendamento de vacinas covid-19 e solicitação de medicamentos para o VIH.

No SNS24.pt o panorama é semelhante — e a recolha de informação só cessa se o utilizador a impedir. Por outro lado, o SNS24.pt e o SNS.gov.pt envolvem os dados mais “sensíveis”, mas não são únicos. Segundo algumas ferramentas especializadas, os sites da Assembleia da República, SIRP, GNR e PSP, Ivaucher.pt e Autenticação.gov.pt também permitem exploração comercial de dados de navegação dos cidadãos.

“O Estado está a entregar de mão beijada a gigantes da internet dados sensíveis dos cidadãos. Este caso assume particular gravidade em sites relacionados com serviços essenciais do Estado, como o SNS, Finanças e justiça, que recorrem a serviços de tracking (rastreamento) externos para otimizarem a gestão desses sites”, refere Eduardo Correia, pioneiro da internet e professor na Universidade do Porto, que aceitou analisar estes casos a título pessoal.

Questionados pelo Expresso, os Serviços Partilhados do Ministério da Saúde (SPMS) garantem que os dados servem apenas para tratamento estatístico e são anonimizados, e “não há partilha de dados pessoais com a Goo­gle ou com qualquer outra entidade externa”. Mas os SPMS também confirmam que procederam a alterações: “Na sequência das perguntas formuladas, decidimos suspender a utilização da ferramenta Google Analytics.”

A anonimização dos dados impede que o nome do internauta seja revelado, mas não que as empresas de publicidade criem perfis do utilizador mediante localizações, temáticas preferidas, sites visitados, compras efetuadas ou endereços IP armazenados pelo histórico de navegação na internet. Eduardo Correia insiste: “Pode haver fuga de dados pessoais para entidades externas. O próprio endereço da página pode conter dados pessoais. Tem de ser feita uma auditoria a estes sites.”

A Google é a marca com maior presença nos serviços que recolhem dados de navegação dos sites do Estado, mas nas ferramentas especializadas é possível encontrar referências ao Facebook ou à Amplitude.com. Na gíria, a recolha de dados de navegação de internautas é conhecida como cookies. Há cookies que são essenciais ao funcionamento dos sites e cookies usadas apenas para campanhas publicitárias. E é este segundo grupo que está em causa. “Os serviços públicos sem atividade empresarial não podem enviar informação recolhida através das cookies para exploração comercial. Isso viola a legislação nacional e comunitária”, refere Alexandre Sousa Pinheiro, professor na Universidade Europeia e antigo vogal da Comissão Nacional de Proteção de Dados (CNPD).

Desde 2004 que a lei nacional que transpôs a diretiva ePrivacy se encontra em vigor. Com esta legislação passou a ser obrigatória a inserção de ferramentas que permitam rejeitar parte ou a totalidade das cookies. Mas os efeitos práticos podem ter gorado a expectativa. “A maior parte das pessoas não lê as condições e políticas relacionadas com o consentimento de cookies”, refere Sousa Pinheiro. A lei exige consentimento, mas o SNS.gov.pt não o pede: “O SNS.gov.pt não dispõe de política de cookies ou de qualquer outro elemento informativo que contenha informação clara e transparente sobre a utilização de cookies. Mais grave: a utilização de cookies é feita sem que seja requerido consentimento prévio”, refere Diogo Duarte, especialista em privacidade.

Mesmo que o SNS.gov.pt solicitasse o consentimento dos internautas, não há a certeza que pudesse passar a informação para entidades comerciais. Sousa Pinheiro recorda que os pedidos de consentimento têm de incidir em áreas específicas autorizadas por lei, o que não iliba o SNS24.pt (que, ao contrário do SNS.gov.pt, pede consentimento para cookies) de responsabilidades.

A CNPD ainda não reagiu, mas Alexandre Sousa Pinheiro admite que a entidade de supervisão possa ter de intervir caso haja suspeita de partilha de dados indevida. A lei que transpôs a diretiva ePrivacy fixa como coima máxima €5 milhões e a lei que executa o RGPD prevê coimas máximas de €20 milhões, ainda que a Administração Pública esteja livre temporariamente dessas sanções. Estes valores mantêm-se longe do recorde de coimas europeu pós-RGPD, que levou as autoridades francesas a multarem a Google em €100 milhões devido a cookies.

A analítica comanda

A Google faz incidir as respostas sobre o uso do Google Analytics, que é hoje uma ferramenta banalizada na gestão de sites ou apps, mas que os céticos consideram ser apenas rampa de lançamento para a exploração comercial de dados. A Google considera que apenas está a disponibilizar uma ferramenta a diferentes organizações. Segundo a porta-voz da Google, são estas entidades que “decidem se partilham os dados ou não com a Google, a Google apenas processa os dados conforme as instruções do cliente”.

Sousa Pinheiro tem visão diferente e admite que a Google e outras empresas possam ser responsabilizadas pelo uso dos dados. O especialista recorda um acórdão do Tribunal de Justiça da UE que responsabilizou o motor de busca da Google num caso de direito ao esquecimento devido à relação contratual com os internautas.

No caso das cookies de entidades públicas, a Google não refere que contratos foram estabelecidos. Apesar disso, a porta-voz da empresa deixa uma garantia: “A Google não cria perfis de anúncios a partir de categorias de interesse ‘sensíveis’. Temos diretrizes rígidas que impedem os anunciantes de utilizar esses dados para segmentar anúncios.” Tendências políticas e religiosas, orientação sexual, números de telefone ou nomes não podem ser usados pelos parceiros da Google.

O uso vulgarizado do Google Analytics não chega para convencer Eduardo Correia quando está em causa o SNS. O veterano da internet admite que, “dependendo da forma como o site é construído”, há o risco de envio de informação associada ao “número do utente, tipo de vacinas, datas de consultas, etc.”.

Fora do Ministério da Saúde, também há outros casos que dão que pensar. Diogo Duarte recorda que o site Ivaucher.pt viola a lei ao permitir uma “cookie-wall, prática considerada ilícita pelo Comité Europeu para a Proteção de Dados, por forçar o utilizador a aceitar as cookies”. Algumas ferramentas de análise de cookies referem ainda que o Ivaucher.pt usa cookies para exploração comercial.

Também há ferramentas que atestam que o Autenticação.gov, que suporta a Chave Móvel Digital, recorre a serviços como Doubleclick ou Google Analytics — sendo que a recolha de dados de navegação não é sujeita a consentimento dos internautas. Diogo Duarte não tem dúvidas de que o site está “em total desconformidade” com a legislação. Mesmo limitando a análise ao uso do Google Analytics pelo Autenticação.gov.pt, Eduardo Correia não fica descansado. “É possível que a Google fique a saber em que sites um internauta se autentica recorrendo ao serviço de autenticação do Estado”, refere.

O Ministério da Modernização Administrativa (MEMA), que tutela o Autenticação.gov.pt, garante que não há qualquer contrato que permita a exploração de cookies comerciais, mas admite que “é relevante a caracterização das audiências que visitam estes sites (por exemplo, a geografia de origem), sempre de forma anonimizada e sem qualquer associação ou tratamento de dados pessoais”. Segundo o MEMA, a recolha de dados “é feita sempre de modo agregado e anonimizado” e sem fins comerciais ou publicitários. Além dos sites aqui descritos, é possível encontrar cenários similares nos sites da Assembleia da República, nos Serviços de Informação da República Portuguesa, na PSP, na GNR e na Câmara Municipal de Lisboa. Afinal, o que sabe a internet sobre os portugueses? A resposta está longe de se saber.

Hugo Séneca – “Expresso” 24 junho 2021

GLOSSÁRIO

Banner

Nome genérico dado a espaços de publicidade interativa, cujos anúncios e temáticas variam consoante os históricos de cookies e os perfis que permitem criar

Browsers

Ligam sites com cookies e trackers que exploram cookies, mas podem ser configurados para impedir a ligação. Chrome, Edge, Firefox e Safari são os mais conhecidos

Cookies

Pequenos ficheiros que funcionam como “marcos digitais”, que confirmam que um internauta acedeu a um serviço da web

Doubleclick

Um dos principais trackers que recolhem cookies para fins publicitários. Comprado pela Google por 3,2 mil milhões de dólares em 2008

ePrivacy e RGPD

A diretiva ePrivacy obrigou à inserção de métodos de autorização de cookies pelos utilizadores. O Regulamento Geral de Proteção de Dados complementou a diretiva

Trackers

Entidades que recolhem cookies. Podem ter função imprescindível para a gestão de sites, mas também podem recolher cookies para criar perfis de consumo

Hugo Séneca

Imprima esta página Imprima esta página

Comente esta notícia.

Escreva o seu comentário, ou linque para a notícia do seu site. Pode também subscrever os comentários subscrever comentários via RSS.

Agradecemos que o seu comentário esteja em consonância com o tema. Os comentários serão filtrados, antes de serem aprovados, apenas para evitar problemas relacionados com SPAM.