CNPD aplica coima de 4,3 milhões de euros ao INE

A Comissão Nacional de Proteção de Dados (CNPD) revelou hoje a aplicação de uma sanção no valor de 4,3 milhões de euros ao Instituto Nacional de Estatística (INE) devido a cinco contraordenações por infrações ao Regulamento Geral sobre a Proteção de Dados (RGPD), no âmbito dos Censos 2021. De acordo com a deliberação, as violações em causa “assumem um grau de gravidade significativo”.

Na Deliberação/2022/1072, a CNPD conta que o INE tratou os dados pessoais relativos à saúde e religião dos cidadãos de forma ilícita e não cumpriu os seus deveres de informação aos respondentes do questionário, pelo que não forneceu informação clara sobre o caráter facultativo do fornecimento de dados sobre saúde e religião.

A CNPD determinou, também, que não foi cumprido o dever de diligência na escolha do subcontratante, a norte-americana Cloudflare, para o tratamento dos dados nos Censos 2021. Apesar de possuir um escritório em Lisboa, o contrato foi feito com a empresa sediada nos EUA. No contrato, admite-se os dados possam ser tratados fora do espaço europeu. 

A CNPD reitera, também, que o INE infringiu as disposições legais relativas à transferência internacional de dados. O contrato inclui cláusulas aprovadas pela Comissão Europeia para a transferência de dados pessoais para os EUA, sem que se prevejam quaisquer medidas complementares que previnam o acesso aos dados por entidades governamentais do país, infringindo as medidas do RGPD para transferências internacionais de dados.

Finalmente, a CNPD acusa o INE de não cumpriu a obrigação de realizar uma avaliação de impacto sobre a proteção de dados no âmbito dos Censos 2021. Em conjunto, as infrações perfaziam 6,5 milhões de euros, contudo, tendo em conta a ausência de contraordenações anteriores do INE, a CNPD deliberou aplicar uma coima única de 4,3 milhões de euros.