Por Inês Rocha (Jornalista), João Antunes (Análise de dados), Rodrigo Machado (Ilustração e grafismo vídeo)
19 abril, 2022
Mais de uma dezena de sites do Estado usam tecnologias de "tracking" de empresas como a Google e a AddThis, da Oracle, que servem para construir perfis dos utilizadores , com o propósito de lhes mostrar publicidade direcionada. Entre eles estão sites da área da saúde, como o do Serviço Nacional de Saúde (SNS), da Direção-Geral da Saúde (DGS) e da ADSE, mas também do Instituto do Emprego e Formação Profissional (IEFP), do Instituto dos Registos e Notariado (IRN), do Livro de Reclamações Online, do Registo Criminal, entre outros.
Uma análise feita pela Renascença a 30 sites do Estado permitiu verificar que 23 destes sites (77%) têm algum tipo de "tracking", muitas vezes de aplicações que medem a estatística dos sites, como o Google Analytics. Mas quase metade dos sites (43%) também plantam "cookies" que recolhem dados do utilizador com fins relacionados com Marketing.
Em 18 dos sites analisados (60%), onde se incluem os sites da DGS e da ADSE, também não há um "banner" que permita ao utilizador rejeitar estes "cookies" . Em sete dos sites (23%) existe um "banner" mas apenas a informar que o site usa "cookies", sem opção de rejeitar. Apenas 17% pede consentimento do utilizador com opção de rejeitar. Mas no caso do site do SNS, mesmo que o utilizador rejeite os "cookies", um por um, eles são plantados no "browser" de qualquer forma.
A inexistência de um "banner" de "cookies" é uma violação do dever de informação previsto no Regulamento Geral de Proteção de Dados (RGPD). Mas a existência de um banner que não traga ao utilizador uma verdadeira escolha informada também viola a lei.
O RGPD não fala especificamente de "cookies" - apenas de princípios, que podem também ser aplicáveis a este tratamento de dados. No entanto, a diretiva e-Privacy obriga os sites a reter todas as "cookies" e "trackers" até que o utilizador tenha dado consentimento. Ao pedir esse consentimento, o site deve informar o utilizador, de uma forma clara, sobre que "cookies" guarda e com que finalidades. O utilizador deve poder fazer uma escolha simples. Deve também ser dada a possibilidade de retirar o consentimento de forma tão fácil como quando foi dado.
O uso de ferramentas de "tracking" em sites públicos não é exclusivo de Portugal. Um relatório do site Cookiebot, que analisou em 2019 os sites dos governos dos 28 estados-membros da União Europeia e os sites dos serviços de saúde de seis países europeus, concluiu que 89% dos sites de governos usavam cookies de terceiros relacionados com publicidade e 52% dos sites de serviços de saúde faziam o mesmo.
Este relatório mostrava que o site do Governo português tinha associado quatro domínios de "tracking": Doubleclick, Google, ShareThis e Youtube. No entanto, atualmente o site está limpo de "trackers" de publicidade, usando apenas "cookies" do Google Analytics.
No Governo que entrou em funções no final de março, a área da Digitalização e Modernização Administrativa passou a estar sob a alçada do gabinete do primeiro-ministro. A Renascença pediu uma entrevista ao secretário de Estado Mário Campolargo sobre os resultados desta investigação, que recusou prestar declarações sobre o assunto de momento.
DGS e ADSE fazem "tracking" dos utilizadores ao embeber vídeos do Youtube. DGS partilha também dados com a Oracle
Os sites da DGS, ADSE e IRN plantam no "browser" do utilizador "cookies" do Youtube, que têm o propósito de rastrear a atividade do utilizador, para lhe adaptar conteúdos na plataforma e mostrar publicidade relevante.
Já o site do SNS, depois de o Expresso ter avançado que o site incluía este "cookie", mudou a forma de embeber vídeos na homepage, de forma a que a cookie não seja incluída. Agora, o utilizador passa a ter no seu browser uma "cookie" chamada “Youtube-no-cookie”.
Esta é uma solução criada pela Google para “aumentar a privacidade” nos vídeos embebidos, que supostamente impede a plataforma de plantar "cookies" que rastreiem a navegação do utilizador.
No entanto, segundo um relatório do site Cookiebot, o que esta solução faz é colocar o identificador “yt-remote-device-id” no “armazenamento local” do browser, em vez de colocar uma "cookie" de rastreamento - o que faz com que o rastreamento da atividade continue, independentemente de o utilizador visualizar o vídeo.
O site da Direção-Geral da Saúde usa também o AddThis em grande parte das páginas, um serviço que fornece botões de partilha de conteúdos nas redes sociais. Este serviço, quando é introduzido no site, além de permitir a partilha dos conteúdos, também recolhe dados de navegação do utilizador.
Em todos os artigos, o site da DGS tem um botão para partilhar o artigo nas redes sociais. O botão é da AddThis, um serviço da Oracle, e recolhe dados dos utilizadores para lhes adaptar publicidade
Os dados são recolhidos por esta empresa da Oracle e, como a empresa assume na política de privacidade, podem ser partilhados dentro da Oracle a nível global mas também vendidos a terceiros como clientes e parceiros da Oracle, marketeers, agências de publicidade, publishers, plataformas de gestão de dados, entre outros.
A empresa diz não criar segmentos para adaptar publicidade com base em dados sensíveis como dados “precisos” de saúde, biométricos, informação genética, orientação sexual, religiosa ou política. No entanto, ao estar presente no site da DGS, tem registos dos artigos que o utilizador leu.
O site do SNS usava antes o ShareThis, um serviço semelhante, mas este foi já retirado da página. No entanto, em análises ao código, ainda aparece o domínio, o que indica que o serviço já foi usado.
“É completamente inadmissível”, considera Eduardo Santos, advogado e presidente da Associação “D3 - Defesa dos Direitos Digitais”, ao ser confrontado com estes dados.
“Não há qualquer justificação para que um site público tenha sistemas que alimentam o sistema de leilão de publicidade online, que depende da vigilância massiva de toda a gente que navega na internet. E isso não é algo desejável do ponto de vista político, não há qualquer razão para termos sites públicos a alinhar nesse tipo de sistemas”, considera.
Dois dos sites analisados – Registo Criminal e Certidão Judicial – usam mesmo a ferramenta “re-marketing audiences” do Google Analytics.
Esta é uma funcionalidade do Analytics que permite aos sites criar audiências customizadas com base na forma como o utilizador interage com o site. É usada pelos sites de comércio para “reconverter” utilizadores que estiveram perto de se tornar clientes, através de anúncios noutros sites que usem o Google Ads. É graças a esta funcionalidade que, quando adicionamos um item ao carrinho, numa loja online, e não chegamos a terminar a compra, vemos que aquele artigo nos persegue pela internet.
Esta ferramenta não terá qualquer utilidade para sites como o Registo Criminal ou a Certidão Judicial, mas permite a recolha de dados pela Google.
O presidente da D3 - Defesa dos Direitos Digitais admite que haja falta de conhecimento sobre estes assuntos na Administração Pública. “Admito que muitas vezes isso aconteça porque eles contratam empresas que trabalham normalmente para os privados e aquilo é o normal, mas não pode ser normal porque não se justifica, não há qualquer tipo de justificação para que, quando eu visito um site público, de uma entidade pública, esteja a ser vigiado nessa navegação, num sistema cujo objetivo é apenas vender publicidade”, diz.
Google Analytics já foi declarado ilegal três vezes na Europa. Mais de metade dos sites públicos usam a ferramenta
Dos 30 sites do Estado analisados pela Renascença, 54% usa o Google Analytics para medir os dados estatísticos de visitas.
Não é o caso do site do Serviço Nacional de Saúde que já não usa a ferramenta da Google para medir a estatística do site. Agora, usa a Matomo, uma ferramenta “open source” mais protetora da privacidade dos utilizadores.
O site tem um "banner" a pedir o consentimento do utilizador para plantar a "cookie" da Matomo. Mas mesmo que, ao entrar no SNS, o utilizador rejeite os "cookies" para fins estatísticos, que não são considerados essenciais, este "cookie" fica no "browser" de qualquer forma - o que significa que o "banner" não tem qualquer utilidade.
Entre os sites que utilizam o Google Analytics estão a área pública do Portal do Utente do SNS24, onde grande parte dos portugueses têm os seus dados de saúde – na área privada do utilizador, já não são recolhidos dados pela Google. Também o site da DGS, da Presidência da República, da Segurança Social e do Governo utilizam a ferramenta da gigante norte-americana.
O Google Analytics é a ferramenta de medição estatística dos sites mais utilizada do mundo. Segundo o site BuiltWith, é utilizado por pelo menos 28 milhões de sites em todo o mundo, o que representa 74% dos sites mundiais. Só em Portugal, será utilizado por 52 mil sites, segundo estimativas do mesmo site. Também é usado por este site, onde está a ler esta notícia.
A ferramenta já foi declarada ilegal por duas autoridades de proteção de dados – francesa e austríaca – e pela Autoridade Europeia para a Proteção de Dados.
Em causa está o facto de a aplicação transferir dados pessoais de cidadãos europeus para servidores nos Estados Unidos, o que desrespeita o acórdão Schrems II, do Tribunal de Justiça da União Europeia.
“O Tribunal Europeu considera que o nível de proteção do direito fundamental à privacidade não é equivalente na Europa e nos Estados Unidos, e portanto, a menos que existam medidas adicionais, a transferência não é legal”, explica Luís Antunes, professor da Faculdade de Ciências da Universidade do Porto.
Questionada pela Renascença se também entende que o uso do Analytics é ilegal em Portugal, a presidente da Comissão Nacional de Proteção de Dados responde que “sem medidas adicionais de proteção”, é ilegal – medidas que atualmente a Google não implementa nos seus serviços.mao
No final de março, União Europeia e Estados Unidos voltaram a chegar a acordo sobre transferências de dados transatlânticas - o que significa que estas transferências poderão voltar a ser lícitas, brevemente.
É o terceiro acordo fechado entre os dois blocos políticos para tentar regular estas transferências, nos últimos 22 anos. Mas, tal como os dois anteriores, parece estar condenado a não durar muito tempo.
Max Schrems, o ativista responsável pelos processos que levaram à anulação, pelo Tribunal de Justiça da União Europeia, dos anteriores acordos, acusa as instituições europeias de voltarem a aceitar um acordo “puramente político”, sem base legal, e ameaça voltar ao tribunal europeu para anular também este acordo.
“Metadados? Acabem com a mentira, são dados pessoais”, diz especialista em cibersegurança
Um dos argumentos mais comuns para justificar o uso de ferramentas como o Google Analytics é o facto de os dados recolhidos não terem um nome associado - são pseudonimizados.
Veja também
Quis saber se o RGPD funciona. Então, fiz “download” da minha vida
O que podemos fazer para reduzir a nossa Pegada Digital?
Ser presidente da CNPD deve ser “das atividades mais frustrantes no domínio da ação pública”
CNPD avisa: sem “medidas adequadas”, uso do Google Analytics é ilegal
Depois de o Expresso ter avançado que vários sites de serviços públicos usavam o Google Analytics, o Governo publicou um “esclarecimento” em que afirmava: “importa clarificar a informação veiculada, uma vez que não são partilhados dados sensíveis dos cidadãos ou qualquer informação com fins comerciais. A utilização para fins estatísticos é alertada à entrada do site, referida na sua política de privacidade, pode ser bloqueada pelo próprio e nunca disponibiliza dados pessoais capazes de identificar o utilizador”, pode ler-se no comunicado.
Qual é o problema, então, de usar esta ferramenta? Luís Antunes explica que “o Google Analytics tem uma telemetria do uso do site. E para essa telemetria funcionar e saberem que aquele utilizador é recorrente, não tem o nome do Luís Antunes, mas tem um identificador, um pseudónimo do Luís Antunes”.
“Ora, segundo o RGPD - com o qual eu concordo - isto são dados pessoais, porque permitem identificar o Luís Antunes se os cruzar com outra informação”, diz o professor.
Este pseudónimo é uma chave - “chamem-lhe o que quiserem, a chave até pode ser ‘XPTO’, mas a partir do momento em que podem associar o ‘XPTO’ ao Luís Antunes, aquele ‘XPTO’, segundo o RGPD, é o Luís Antunes. E bem, porque há já vários estudos que mostram que permite re-identificar as pessoas”, afirma o especialista em privacidade e cibersegurança.
Sobre o argumento de que os dados recolhidos pelo Analytics não são bem dados, mas antes “metadados” (dados sobre outros dados), Luís Antunes reage com um “isto arrepia-me”.
“Metadados? Essa é uma forma de me quererem aldrabar. São dados pessoais. Agora as pessoas acham que se lhe chamarem metadados, nós já não vamos achar que são dados pessoais”.
“Não, acabem com a mentira, chamem aos metadados “dados pessoais”. Os meus dados de navegação, num 'browser' qualquer, revelam o meu comportamento, são os meus dados pessoais. E isso, segundo a definição que toda a gente usa, são metadados. O tanas é que são! São os meus dados pessoais, sou eu e a minha navegação”.
"Tracking" para marketing em sites públicos? “Não merece comentário”
Sobre o uso de tecnologias de "tracking" de marketing em sites do Estado, o docente de FCUP admite que a prática “é bem mais agressiva do que o uso do Analytics” e confessa que o tema o “irrita”, por isso pede “o direito de não comentar”.
“Não merece comentário”, afirma. “Trace a barreira no Google Analytics. Se já tem deliberações de reguladores e do Supervisor Europeu de Proteção de Dados que essa é uma barreira, tudo o que esteja para lá disso já ultrapassou a barreira”.
No entanto, considera que estas práticas na administração pública acontecem “por mera ignorância das pessoas”. “As pessoas não fazem a mínima ideia que metadados são dados pessoais, não fazem a mínima ideia que ao pôr lá estas coisas, permitem a estas empresas identificar as pessoas. Mas eu não acho que quem faz isto esteja a fazer isto por maldade, acho que é por pura ignorância”.
A culpa, para o professor da FCUP, “é muito das universidades, estamos a correr atrás do prejuízo”. Neste momento, já “estamos a formar os nossos alunos no sentido do ‘Privacy by Design’, o que são dados pessoais, que um pseudónimo não deixa de ser um dado pessoal”.
No entanto, numa altura em que há uma grande procura por profissionais, a administração pública não consegue competir com as empresas por talento.
“Os profissionais de informática na administração pública estão envelhecidos. Portanto vivem com a tecnologia, com a realidade de há dez, vinte anos. O mercado está de tal forma que os novos e bons não estão na administração pública”, remata.
CNPD quer apertar fiscalização sobre cookies. “Já fizemos alertas suficientes”
Presidente da CNPD diz ver os resultados desta investigação com “muita tristeza”
A Comissão Nacional de Proteção de Dados promete, este ano, estar mais atenta a violações de dados pessoais relacionadas com “cookies” e vir, num futuro próximo, a apertar a fiscalização nesta matéria.
Em junho do ano passado, a Comissão Nacional de Proteção de Dados anunciou que iria emitir “diretrizes específicas” sobre a utilização de cookies, “no sentido de as organizações alinharem as suas práticas com as exigências legais”.
Anunciou também que iria fazer um levantamento geral sobre a forma como as entidades públicas estão a usar determinados serviços e ferramentas online, com incidência no tratamento de dados pessoais.
As duas tarefas foram incluídas no plano de atividades para 2021, mas em abril de 2022 ainda não foram divulgadas.
Em entrevista à Renascença, em fevereiro, Filipa Calvão, presidente da Comissão Nacional de Proteção de Dados explicou o atraso à Renascença com “urgências” recentes – “todos os ciberataques que temos tido aqui nos últimos tempos em algumas instituições públicas e privadas”, nos quais tiveram de concentrar recursos.
Veja também
Quis saber se o RGPD funciona. Então, fiz “download” da minha vida
Pedi os meus dados a 70 empresas. Isto é o que elas sabem sobre mim
Sites públicos ajudam a construir perfis para nos adaptar publicidade
Ser presidente da CNPD deve ser “das atividades mais frustrantes no domínio da ação pública”
Acrescentou que o facto de estarem, naquela altura, a trabalhar em duodécimos também limitava o trabalho. O objetivo da comissão, para as orientações sobre "cookies", era optar por “formas de comunicação de mais fácil compreensão”, mais interativas, pelo que ainda não tinha sido possível contratar esses serviços.
A presidente da CNPD prometia divulgar as orientações “até ao final do trimestre”. A partir daí, as empresas poderiam esperar uma CNPD mais atenta a este tema.
Um mês depois do final do trimestre, as orientações ainda não estão disponíveis.
Ainda assim, Filipa Calvão lembra que o atraso nas orientações da CNPD não desculpa as organizações que não cumprem a lei.
“A ideia era fixar aqui um conjunto de regras, lembrar as regras legais e dar algumas orientações quanto ao cumprimento dessas regras. Mas as organizações têm a obrigação de as conhecer, porque, em primeiro lugar, já cá estão há muitos anos. Segundo, porque não suscitam assim tantas dúvidas. Apesar de tudo, o regime é relativamente simples”.
Ainda assim, Filipa Calvão vê “as organizações a tentarem sempre, de alguma forma, contornar essas regras”.
Logo depois de divulgar as orientações, a CNPD promete fiscalizar mais. “Há aí um conjunto de práticas que estão a ser seguidas pelos sites que têm que ser corrigidos. Eu julgo que nós já fizemos alertas suficientes no passado para que agora as coisas estejam em condições, portanto, se não estiverem, as entidades terão que responder por isso”, avisa a responsável daquele organismo.
CNPD diz que organizações “não precisam de ser alertadas” quando violam proteção de dados
Questionada sobre as conclusões da investigação da Renascença sobre "cookies" nos sites do Estado, e se já alertou essas instituições sobre esse tipo de práticas, a presidente da Comissão Nacional de Proteção de Dados diz que “não precisam de ser alertadas”.
“Com franqueza, eu acho que todas as organizações têm obrigação de saber o que é que têm e o que é que estão a fazer com os dados, seja dos seus utentes, seja de quem consulta simplesmente as suas páginas na internet. E, portanto, há aqui uma responsabilidade especial das organizações, em especial das organizações públicas, de saberem o que estão a fazer com os dados pessoais dos cidadãos”, diz à Renascença.
Filipa Calvão lembra que “o regime atual de Protecção de Dados faz recair sobre cada organização o dever especial de cumprir a lei e de verificar e demonstrar que está a cumpri-la. Portanto o nosso papel é, sim, ajudar a explicar como se cumpre a lei, mas não podemos estar a chamar à atenção para aquilo que elas sabem que estão a fazer”, explica a responsável.
No início deste ano, a Google e a Meta, dona do Facebook, foram multados, em 150 e 60 milhões de euros, respetivamente, pela CNIL, comissão de proteção de dados francesa, pelas suas práticas de "cookies", utilizados para publicidade dirigida ao utilizador.
“A CNIL constatou que os ‘sites’ facebook.com, google.fr e youtube.com não permitem” recusar ‘cookies’ “de forma tão simples” como aceitá-los, indicou a entidade.
A comissão francesa entendeu que o facto de aqueles sites oferecerem um botão para aceitar “cookies” de forma imediata, mas serem necessários “vários cliques para recusar todos os ‘cookies'”, “viola a liberdade de consentimento”.
A associação Noyb, dirigida pelo ativista pela privacidade Max Schrems, fez também 422 queixas a dez autoridades de proteção de dados contra sites em todo o mundo (incluindo portugueses) que não cumpriam a lei nos seus “banners” de cookies.
Nota: Artigo atualizado às 15h30 de 20 de abril de 2022, com a resposta do gabinete do secretário de Estado da Digitalização e Modernização Administrativa ao pedido de entrevista da Renascença.
Nota metodológica
Análise feita entre 1 e 16 de fevereiro com recurso à ferramenta Blacklight, um "inspetor de privacidade" construído pelo The Markup, site especializado em jornalismo de dados.
Foi posteriormente feita uma análise através da ferramenta Cookiebot, construída pela Usercentrics, uma plataforma de gestão de consentimento alemã. A ferramenta faz uma análise de cookies e outros "trackers" presentes no código do website e avalia se está a cumprir a legislação europeia, ao pedir consentimento para os "trackers", quando necessário.
Foram analisados 30 sites do Estado, escolhidos manualmente de acordo com o seu grau de importância e utilização por parte dos cidadãos. A lista inclui os sites dos principais órgãos executivos e legislativos, sites de entidades de saúde e serviços úteis que os cidadãos consultam "online":
ADSE; Autenticação Cartão Cidadão; Automóvel online; Caixa Geral Aposentações; Certidão Judicial; Covid-19; Covid-19 - Estamos On; DGS; e-Fatura; Governo; IEFP; IMT; IRN; Ivaucher; Livro de reclamações; Parlamento; Portal das Eleições; Portal das Finanças; ePortugal; Portal IEFP; Legislativas 2022; Predial Online; Presidência da República; Recenseamento Online; Registo Civil; Registo Criminal; Segurança Social; SNS; SNS24; TraceCovid19.