A Comissão Nacional de Proteção de Dados (CNPD) revelou hoje que aplicou uma multa ao Instituto Nacional de Estatísticas (INE) pela prática de 5 contraordenações no âmbito dos Censos de 2021.
A multa aplicada foi de 4,3 milhões de euros.
A CNPD divulgou hoje que concluiu que o Instituto Nacional de Estatística praticou cinco contraordenações, por infrações ao RGPD, no âmbito dos Censos de 2021, tendo aplicado uma coima única ao INE no valor de 4,3 milhões de euros.
Segundo é indicado, a CNPD decidiu que “o INE tratou dados pessoais relativos à saúde e religião de forma ilícita, não cumpriu os seus deveres de informação aos respondentes do questionário do Censos 2021, violou os deveres de diligência na escolha do subcontratante, infringiu as disposições legais relativas à transferência internacional de dados e incumpriu a obrigação de realizar uma avaliação de impacto sobre a proteção de dados relativa à operação censitária”.
Relativamente aos dados especiais relativos à saúde e à religião concluiu que, o facto de o INE não ter fornecido informação clara e completa sobre o carácter facultativo do seu fornecimento pelos cidadãos, em desrespeito pela obrigação legal, prejudicou a compreensão das pessoas quanto ao facto de algumas questões serem de carácter facultativo. “Tal não permitiu aos cidadãos formar a sua vontade, o que era essencial para que estivessem reunidos os pressupostos de licitude do tratamento daquelas categorias especiais de dados”, diz a CNPD.
A CNPD entendeu também que não foi cumprido o dever de diligência na escolha do subcontratante, considerando que a verificação dos requisitos do n.º 3 do artigo 28.º do RGPD deve ser substantiva e não formal, não se limitando à escolha de um qualquer clausulado-padrão. No caso, apesar da existência de um escritório da empresa em Lisboa, o contrato foi feito com a empresa sediada nos EUA, tendo sido contratualizado que o foro para dirimir conflitos entre o INE e a Cloudflare, Inc. é o Tribunal da Califórnia.
Nesse contrato, também se admite o trânsito de dados pessoais por qualquer dos 200 servidores da empresa, antecipando as Partes que os dados podem ser tratados fora do Espaço Económico Europeu. O contrato inclui ainda as cláusulas contratuais-tipo aprovadas pela Comissão Europeia para a transferência de dados pessoais para os EUA, sem que se prevejam quaisquer medidas complementares que previnam o acesso aos dados por entidades governamentais do país terceiro, em consonância com o Acórdão Schrems II do Tribunal de Justiça da União Europeia. Nessa medida, a CNPD concluiu também que o INE infringiu os artigos 44.º e 46.º, n.º 2, do RGPD, no que diz respeito às transferências internacionais de dados.
Após várias queixas, a CNPD ainda no decurso da operação censitária de 2021, iniciou uma averiguação e deu ordem de suspensão do envio de dados pessoais da operação para os EUA e para outros Estados terceiros sem um nível de proteção adequado.
O processo ficou agora concluído com a aprovação da deliberação final, em que é aplicada uma coima única em cúmulo jurídico no valor de 4,3 milhões de euros pela prática de cinco contraordenações.