A CNPD concluiu que o Instituto Nacional de Estatística praticou cinco contraordenações, por infrações ao RGPD, no âmbito da operação censitária de 2021, tendo aplicado em cúmulo jurídico uma coima única no valor de 4,3 milhões de euros.
Na Deliberação/2022/1072, a CNPD decidiu que o Instituto Nacional de Estatística (INE) tratou dados pessoais relativos à saúde e religião de forma ilícita, não cumpriu os seus deveres de informação aos respondentes do questionário do Censos 2021, violou os deveres de diligência na escolha do subcontratante, infringiu as disposições legais relativas à transferência internacional de dados e incumpriu a obrigação de realizar uma avaliação de impacto sobre a proteção de dados relativa à operação censitária.
A CNPD concluiu, quanto aos dados especiais relativos à saúde e à religião, que o facto de o INE não ter fornecido informação clara e completa sobre o carácter facultativo do seu fornecimento pelos cidadãos, em desrespeito pela obrigação legal presente no n.º 4 do artigo 4.º da Lei do Segredo Estatístico Nacional, prejudicou a compreensão dos respondentes de que os quesitos 29.3 a 29.6 e 30. do questionário eram de resposta facultativa. Tal não permitiu aos cidadãos formar a sua vontade, o que era essencial para que estivessem reunidos os pressupostos de licitude do tratamento daquelas categorias especiais de dados.
A CNPD entendeu ainda que não foi cumprido o dever de diligência na escolha do subcontratante, considerando que a verificação dos requisitos do n.º 3 do artigo 28.º do RGPD deve ser substantiva e não formal, não se limitando à escolha de um qualquer clausulado-padrão. No caso, apesar da existência de um escritório da empresa em Lisboa, o contrato foi feito com a empresa sediada nos EUA, tendo sido contratualizado que o foro para dirimir conflitos entre o INE e a Cloudflare, Inc. é o Tribunal da Califórnia.
Nesse contrato, também se admite o trânsito de dados pessoais por qualquer dos 200 servidores da empresa, antecipando as Partes que os dados podem ser tratados fora do Espaço Económico Europeu. O contrato inclui ainda as cláusulas contratuais-tipo aprovadas pela Comissão Europeia para a transferência de dados pessoais para os EUA, sem que se prevejam quaisquer medidas complementares que previnam o acesso aos dados por entidades governamentais do país terceiro, em consonância com o Acórdão Schrems II do Tribunal de Justiça da União Europeia. Nessa medida, a CNPD concluiu também que o INE infringiu os artigos 44.º e 46.º, n.º 2, do RGPD, no que diz respeito às transferências internacionais de dados.
Recorde-se que a CNPD, no decurso do Censos 2021, após a receção de várias queixas, iniciou de imediato uma averiguação e deu ordem de suspensão do envio de dados pessoais da operação censitária para os EUA e para outros Estados terceiros sem um nível de proteção adequado, conforme Deliberação/2021/533.
O processo ficou agora concluído com a aprovação da deliberação final, em que é aplicada uma coima única em cúmulo jurídico no valor de 4,3 milhões de euros pela prática de cinco contraordenações.