12 dez, 2022 - 15:04 • Inês Rocha com Lusa
A Comissão Nacional de Proteção de Dados (CNPD) aplicou uma coima de 4,3 milhões de euros ao Instituto Nacional de Estatística (INE) por violações do Regulamento Geral de Proteção de Dados (RGPD) no âmbito da operação dos Censos 2021.
É a coima mais alta alguma vez aplicada pela CNPD no âmbito do RGPD, que entrou em vigor em 2018.
Segundo a deliberação da CNPD publicada esta segunda-feira, estão em causa violações pelo INE no tratamento de categorias especiais de dados pessoais, dos deveres de informação aos titulares dos dados, das regras aplicáveis à contratação de uma empresa para gerir os dados recolhidos nos censos.
Foram ainda consideradas violações, a atuação do instituto relativamente à transferências de dados para países terceiros e a não realização de uma avaliação de impacto sobre os dados pessoais.
A comissão entende que a atuação do INE traduz a prática de cinco contraordenações "previstas e punidas" pelo RGPD, sublinhando que as infrações "assumem um grau de gravidade significativo, atento o número de titulares de dados em causa (...), o contexto em que as mesmas foram praticadas, em especial a obrigatoriedade de resposta aos Censos 2021 e a convicção de que eram de resposta obrigatória".
CNPD ordenou a suspensão do contrato do INE com a (...)
A decisão da CNPD aponta à entidade responsável pela realização dos censos uma "atuação negligente", ao violar o dever de transparência e o dever de cuidado pela falta de informação aos titulares dos dados sobre a atividade em causa (realização dos censos).
A CNPD considera também que o INE agiu com dolo ao não verificar junto da empresa que iria recolher e gerir os dados pessoais se esta não passaria os dados a países terceiros.
Por isso, concluiu que duas contraordenações resultaram de negligência e outras três foram praticadas de forma dolosa.
"O INE conhecia, e não podia deixar de conhecer, o caráter vinculativo das suas obrigações e conformou-se com a possibilidade da realização dos factos de que vem acusado, pelo que se imputam ao arguido a título de dolo eventual", pode ler-se na deliberação do organismo com data de 02 de novembro de 2022.
Segundo a comissão, o INE revelou "um desvalor pelos princípios e obrigações previstos no RGPD, ao contar com uma intervenção da autoridade supervisora [CNPD], ao invés de tomar a iniciativa de assegurar que a operação censitária cumprisse aquele regime".
As cinco contraordenações deram origem a cinco coimas que ascendiam a 6,5 milhões de euros.
No entanto, mesmo reconhecendo um "elevado grau de censurabilidade das condutas do arguido" e a necessidade de uma "sanção que traduza a alta censurabilidade desse comportamento", o organismo acabou por relevar a ausência de antecedentes de infrações do INE, aplicando uma coima única de 4,3 milhões de euros.
Pegada Digital
SNS, DGS e ADSE são algumas das entidades que usam(...)
A realização dos censos 2021 ficou envolta em polémica depois de ser conhecido o contrato com a empresa Cloudflare, responsável pela segurança do "site" que recolheu as respostas aos censos, e que previa a transferência de dados pessoais para os Estados Unidos da América ou outros países - o que desrespeita o acórdão Schrems II, do Tribunal de Justiça da União Europeia.
A Comissão Nacional de Proteção de Dados exigiu então a suspensão de qualquer transferência de dados pessoais, com o INE a suspender o contrato com empresa. Uma decisão elogiada, em entrevista à Renascença, por Max Schrems, o ativista pela privacidade que emprestou o nome às duas decisões do tribunal europeu sobre transferências de dados para os Estados Unidos.
O INE sempre recusou que os dados das respostas dos Censos tivessem saído da União Europeia, mas nunca teve provas concretas de que isso não acontecesse. Em entrevista à Renascença, o presidente do instituto, Francisco Lima, assumiu que "precisava de ter apostado mais na clareza, uma clareza jurídica que não levantasse dúvidas quanto ao cumprimento do RGPD".
Na realidade, o instituto baseou-se no facto de a Cloudflare dizer que cumpria o RGPD para assumir que os dados não sairiam da UE.
No entanto, a decisão hoje conhecida não se centra apenas na transferência de dados para os EUA - a CNPD acusa o INE de várias outras falhas no âmbito do Censos 2021.
A CNPD aponta ao INE o facto de não ter realizado uma avaliação de impacto sobre a proteção de dados relativa à operação censitária.
Quanto aos dados de saúde e religião, a CNPD considera que o INE não forneceu "informação clara e completa sobre o carácter facultativo do seu fornecimento pelos cidadãos", tendo assim impedido os respondentes de "formar a sua vontade".