A Comissão Nacional de Protecção de Dados (CNPD) aplicou uma coima de 4,3 milhões de euros ao Instituto Nacional de Estatística (INE) por violações do Regulamento Geral de Protecção de Dados (RGPD) no âmbito da operação dos Censos 2021.

A realização dos Censos 2021 ficou envolta em polémica depois de ser conhecido o contrato com a empresa Cloudflare, responsável pela segurança do site que recolheu as respostas aos censos, e que previa a transferência de dados pessoais para os Estados Unidos da América ou outros países. A CNPD exigiu então a suspensão de qualquer transferência de dados pessoais, com o INE a suspender o contrato com empresa.

Segundo a deliberação da CNPD, divulgada pela Lusa esta segunda-feira, estão em causa violações pelo INE no tratamento de categorias especiais de dados pessoais, dos deveres de informação aos titulares dos dados e das regras aplicáveis à contratação de uma empresa para gerir os dados recolhidos nos Censos.

Foram ainda consideradas violações a actuação do instituto relativamente à transferências de dados para países terceiros e a não realização de uma avaliação de impacto sobre os dados pessoais.

A comissão entende que a actuação do INE traduz a prática de cinco contra-ordenações “previstas e punidas” pelo RGPD, sublinhando que as infracções “assumem um grau de gravidade significativo, atento o número de titulares de dados em causa (…), o contexto em que as mesmas foram praticadas, em especial a obrigatoriedade de resposta aos Censos 2021 e a convicção de que eram de resposta obrigatória”.

“Actuação negligente”

A decisão da CNPD aponta à entidade responsável pela realização dos censos uma “actuação negligente”, ao violar o dever de transparência e o dever de cuidado pela falta de informação aos titulares dos dados sobre a actividade em causa (realização dos censos).

A CNPD considera também que o INE agiu com dolo ao não verificar junto da empresa que iria recolher e gerir os dados pessoais se esta não passaria os dados a países terceiros.

Por isso, concluiu que duas contra-ordenações resultaram de negligência e outras três foram praticadas de forma dolosa.

“O INE conhecia, e não podia deixar de conhecer, o carácter vinculativo das suas obrigações e conformou-se com a possibilidade da realização dos factos de que vem acusado, pelo que se imputam ao arguido a título de dolo eventual”, pode ler-se na deliberação do organismo com data de 2 de Novembro de 2022.

Segundo a comissão, o INE revelou “um desvalor pelos princípios e obrigações previstos no RGPD, ao contar com uma intervenção da autoridade supervisora [CNPD], ao invés de tomar a iniciativa de assegurar que a operação censitária cumprisse aquele regime”.

As cinco contra-ordenações deram origem a cinco coimas que ascendiam a 6,5 milhões de euros.

No entanto, mesmo reconhecendo um “elevado grau de censurabilidade das condutas do arguido” e a necessidade de uma “sanção que traduza a alta censurabilidade desse comportamento”, o organismo acabou por relevar a ausência de antecedentes de infracções do INE, aplicando uma coima única de 4,3 milhões de euros.