Carta aberta ao Presidente da Assembleia da República e aos partidos com assento parlamentar sobre o estado do Estado digital
Carta aberta ao Excelentíssimo Senhor Presidente da Assembleia da República, Eduardo Ferro Rodrigues, e à maioria dos partidos com assento parlamentar, sobre o estado do Estado digital
A criação de uma empresa online em Portugal e o que isso revela sobre como se vai desbaratar dinheiro, caso a participação cívica não seja reforçada em Portugal
Conteúdo
Da necessidade de um Frankensteiniano SimplaLexPOSMAC e Da Ascensão de Vários Anjos
Uma versão consolidada da realidade
Ups! Parlamento não encontrado
Em casa de ferreiro, espeto de salgueiro
Da necessidade de um Frankensteiniano SimplaLexPOSMAC ou A Ascensão de Vários Anjos
O relatório Dissecação de um processo de criação de empresa online no portal ePortugal em Abril de 2021, que envio em anexo, é um retrato de como a administração pública digital carece de atenção, consensos e continuidade. Porque sem um verdadeiro acordo entre todos, para coisas tão básicas como manter as designações das principais entidades públicas estruturais, para que, por exemplo, se possam manter URL (Uniform Resource Locator – a sequência de texto que especifica onde determinado recurso pode ser encontrado na Internet) e o cidadão e as empresas consigam saber a quem e onde se podem dirigir, independentemente do governo em funções. Para uma organização clara do Estado é mesmo necessário um pacto – chamemos-lhe União do Regime pela Limpidez (URL), pese o desconforto de evocar a “excelentíssima” UNDO (União Nacional do Dinossauro Oliveira).
A Carta Portuguesa de Direitos Humanos na Era Digital foi uma oportunidade perdida para a consagração desta URL. O artigo 3.º da Lei n.º 27/2021, de 17 de Maio, poderia ter uma alínea l) que estabelecesse que compete ao Estado: “A continuidade dos serviços públicos digitais, assegurando boas práticas de gestão que assegurem a persistência de URL (Localizador Uniforme de Recursos) e o acesso duradouro a URI (Identificador Uniforme de Recursos).”
Tem de existir um mínimo de consistência nas principais estruturas da administração pública. Não há simplexificação que nos valha. Do pré-PRACE ao pós-PREMAC já foram feitas inúmeras reformas administrativas que, independentemente da sua qualidade, deixam os cidadãos confusos e, em termos de governo digital, seguem um padrão desconcertante:
As iniciativas surgem ousadas e grandiloquentes; brotam uma catadupa de novos serviços digitais (para cuja concepção e avaliação de usabilidade os cidadãos “não são tidos nem achados”); os cidadãos não são devidamente informados dessas novidades; descuram-se as ligações com os serviços pré-existentes; quando os cidadãos os começam a utilizar verificam a desconexão com outros serviços dos quais por vezes dependem; entretanto, o governo muda e desabrocha um novel ímpeto reformador; partes dos serviços mudam de nomenclatura e de URL (bastas vezes de modo Lampedusiano); acumulam-se as hiperligações para conteúdos não disponíveis, ou para sites defuntos; e as sucessivas reformas vão desaparecendo no olvido digital.
Uma versão consolidada da realidade
As próprias leis aprovadas no parlamento vão, por vezes, às funduras mais rebuscadas do verbo jurídico sem prestarem atenção ao contexto da sociedade e sem preverem a flexibilidade necessária para se poderem ir adaptando a uma realidade com mudanças constantes e mais acentuadas, como a actual. Por vezes, estas leis inflexíveis, não actualizadas (nem actualizáveis), impõem a sua dura lex, sed lex a qualquer laivo reformista, tornando-se elas próprias propugnáculos de marasmo. O modo como algum pensamento normativo do século XIX e o apego ao “papel” tolhe a adopção de melhores políticas digitais no século XXI é um bom exemplo disso.
A frequência com que os deputados adaptam o seu estatuto talvez seja um exemplo contrário ao que acabo de dizer: 15ª versão (Lei n.º 60/2019, de 13/08), 14ª versão (Lei n.º 44/2019, de 21/06), 13ª versão (Lei n.º 16/2009, de 01/04), 12ª versão (Lei n.º 43/2007, de 24/08), 11ª versão (Lei n.º 45/2006, de 25/08), 10ª versão (Lei n.º 44/2006, de 25/08), 9ª versão (Lei n.º 52-A/2005, de 10/10), 8ª versão (Lei n.º 24/2003, de 04/07), 7ª versão (Rect. n.º 9/2001, de 13/03), 6ª versão (Lei n.º 3/2001, de 23/02), 5ª versão (Lei n.º 45/99, de 16/06), 4ª versão (Lei n.º 8/99, de 10/02), 3ª versão (Lei n.º 55/98, de 18/08), 2ª versão (Lei n.º 24/95, de 18/08), 1ª versão (Lei n.º 7/93, de 01/03).
Não quero com isto dizer que estas revisões do diploma não fossem necessárias e louváveis. Apenas quero contrastar a prontidão com que se altera a legislação quando se conhece a realidade, da atitude, impávida e serena, quanto às normas jurídicas e procedimentos administrativos, quando se trata da vida de outros sem (eventualmente) tanto estatuto.
Ups! Parlamento não encontrado.
Para além disso, o próprio parlamento incorre no erro de começar projectos online meritórios, mas que acabam por ficar pelo caminho, por falta de manutenção, tornando-se obsoletos e com pouco préstimo para o cidadão. Podem até tornar-se contraproducentes. Por exemplo: um cidadão que pesquisasse por “regulamento estado de emergência” no Google no dia 19 de Abril de 2021 poderia ter como terceiro resultado a página https://www.parlamento.pt/Paginas/covid19.aspx cuja informação já não é actualizada desde Maio de 2020 – e isto, sobre algo tão relevante como o “Estado de emergência | COVID-19”! A título informativo esta página, no dia 19-04-2021 tinha 24 links não funcionais, entre os quais, um link para https://covid19estamoson.gov.pt/plano-desconfinamento-medidas-gerais/ e outro para https://covid19estamoson.gov.pt/estado-de-emergencia-nacional/pacote-de-medidas/, que resultam no famigerado “Ups! Página não encontrada”.
O parlamento, tal como outros órgãos de soberania tem vários problemas no seu site, com hiperligações que dão para nenhures e uma segurança que deveria estar algures, mas não está. Dou alguns exemplos de seguida.
O cidadão que queira saber mais sobre os “votos” na Assembleia terá alguma dificuldade em aceder à respectiva página no site (https://www.parlamento.pt/ActividadeParlamentar/Paginas/Votos.aspx), pois, na maioria das vezes (durante o mês de Maio de 2021), o servidor demora demasiado tempo a responder e a página não carrega:
O cidadão que queira conhecer a “Assembleia como órgão de soberania” não terá muita sorte ao querer consultar a “Infografia – Composição da AR, Governos e Presidentes da República (1976-2019)”, pois, como é (in)compreensível, a respectiva hiperligação – https://participacao/app-composicao/ – conduz o navegante à Sala dos Links Perdidos. Isto já deverá estar assim desde 2019, data da infografia, o que mostra: ou que os cidadãos não se importam com a composição da AR, ou que os portugueses não gostam de infografias, ou que o parlamento não se interessa muito pelo que os seus eleitores se interessam.
A ferramenta de avaliação de cibersegurança do CNCS e da Associação DNS.PT indica as seguintes falhas de segurança no site parlamento.pt (em 24-05-2021):
- O domínio de internet não possui suporte a HSTS;
- O domínio de internet suporta uma ou mais versões do protocolo TLS consideradas inseguras.
A casa da democracia poderia dar um melhor exemplo nesta, como noutras matérias. Mas não deixa de ser curioso, que estando em discussão, a 12 de Abril de 2021, um “projeto de decreto-lei [que] regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança”, o próprio Centro Nacional de Cibersegurança tenha, na página da notícia deste projecto, um link errado para o portal ConsultaLEX (https://www.cncs.gov.pt/articles/consultalex.gov.pt) que vai dar à costumeira “PÁGINA NÃO ENCONTRADA”:
Em casa de ferreiro, espeto de salgueiro
Começando o país a estar mais focado na digitalização, seria um bom serviço a Portugal os partidos incrementarem o nível de conformidade dos seus domínios de internet e de correio eletrónico com os mais recentes padrões para a comunicação segura entre sistemas, tal como recomendado pelo Centro Nacional de Cibersegurança (CNCS) e pela Associação DNS.PT (.PT). De outro modo, estarão a justificar a amplificação do coro “bem prega frei Tomás” …
Segundo a ferramenta de segurança destas entidades os sites dos partidos apresentam os seguintes problemas de segurança (em 29-04-2021):
https://webcheck.pt/pt/resultados/www.cds.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- O domínio de internet não possui suporte a HSTS;
- O domínio de internet suporta uma ou mais versões do protocolo TLS consideradas inseguras;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não possui um registo DKIM configurado;
- O domínio de correio eletrónico não tem associado um registo DMARC.
https://webcheck.pt/pt/resultados/psd.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- O domínio de internet não possui suporte a HSTS.
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não possui um registo DKIM configurado;
- O domínio de correio eletrónico não tem associado um registo DMARC.
https://webcheck.pt/pt/resultados/iniciativaliberal.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- O domínio de internet não possui suporte a HSTS;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não tem associado um registo DMARC;
- Pelo menos um servidor de correio eletrónico associado ao domínio suporta uma ou mais versões do protocolo TLS consideradas inseguras.
https://webcheck.pt/pt/resultados/pan.com.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- O domínio de internet não se encontra configurado com pré-carregamento (preload) de HSTS;
- O domínio de internet suporta uma ou mais versões do protocolo TLS consideradas inseguras;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não tem associado um registo DMARC.
https://webcheck.pt/pt/resultados/ps.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- O domínio de internet não se encontra configurado com pré-carregamento (preload) de HSTS;
- O domínio de internet suporta uma ou mais versões do protocolo TLS consideradas inseguras;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não possui um registo SPF;
- O domínio de correio eletrónico não possui um registo DKIM configurado.
https://webcheck.pt/pt/resultados/bloco.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- Não foi possível estabelecer um canal de comunicação seguro (HTTPS). A comunicação entre o navegador de internet (browser) e o servidor que disponibiliza a página de internet pode ser comprometida;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não tem associado um registo DMARC.
https://webcheck.pt/pt/resultados/osverdes.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- Não foi possível estabelecer um canal de comunicação seguro (HTTPS). A comunicação entre o navegador de internet (browser) e o servidor que disponibiliza a página de internet pode ser comprometida;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não implementa uma política DMARC suficientemente segura;
- Pelo menos um servidor de correio eletrónico associado ao domínio suporta uma ou mais versões do protocolo TLS consideradas inseguras.
https://webcheck.pt/pt/resultados/pcp.pt/
- O nome de domínio não se encontra assinado com DNSSEC;
- Não foi possível estabelecer um canal de comunicação seguro (HTTPS). A comunicação entre o navegador de internet (browser) e o servidor que disponibiliza a página de internet pode ser comprometida;
- Pelo menos um nome de domínio do(s) servidor(es) de correio eletrónico (MX) não se encontra assinado com DNSSEC;
- O domínio de correio eletrónico não possui um registo DKIM configurado;
- O domínio de correio eletrónico não tem associado um registo DMARC;
- O(s) servidor(es) de correio eletrónico associado(s) ao domínio não suporta(m) ligações STARTTLS.
Espero contribuir, com estas modestas reflexões, para um cumprimento mais cabal do que o artigo 19.º da Lei n.º 27/2021 designa como os “direitos digitais face à Administração Pública”. Devo apenas acrescentar, à laia de sugestão, que a Assembleia da República poderia ter aperfeiçoado este artigo, aditando os seguintes dizeres ao referido artigo e ao artigo 22.º:
Artigo 19.º
Direitos digitais face à Administração Pública
Perante a Administração Pública, a todos é reconhecido o direito:
[…]
g) A uma efectivação cuidada dos serviços públicos digitais, que atente ao superior interesse dos cidadãos;
h) À imperativa incorporação da participação cívica na feitura de todos os procedimentos digitais e na sua subsequente monitorização;
i) A não serem tratados com indiferença e desconsideração pela Administração Pública;
j) A que os serviços públicos digitais sirvam para disponibilizar informação abrangente e de qualidade;
l) A uma Administração Pública que esteja concentrada na simplificação dos resultados, estabelecendo, sobretudo para tal fim, sinergias permanentes entre os vários serviços;
m) A beneficiar de serviços públicos com infra-estruturas adequadas, com optimização e controlo do desempenho das suas funções e, em especial, em conformidade com os padrões de cibersegurança preconizados pelo Centro Nacional de Cibersegurança.
2 – As medidas com vista a regulamentar a obrigatoriedade de resposta satisfatória e atempada da Administração Pública aos cidadãos, instituições e empresas, serão objecto de lei especial.
Artigo 22.º
Direito transitório
[…]
2 – Até à entrada em vigor da lei prevista no n.º 2 do artigo 19.º são aplicáveis o bom senso e a ética na condução da coisa pública.
Certo de que as minhas preocupações serão entendidas por VV. Ex.as, subscrevo-me respeitosamente,
Paulo Ferreira