Segundo a deliberação da CNPD, estão em causa violações pelo INE no tratamento de categorias especiais de dados pessoais, dos deveres de informação aos titulares dos dados, das regras aplicáveis à contratação de uma empresa para gerir os dados recolhidos nos censos. A empresa contratada é a Cloudflare que tinha a seu cargo a segurança do site dos censos e com quem foi suspenso o contrato. 

Esta é mais uma das multas aplicadas pela CNPD no âmbito de violações do Regulamento Geral de Proteção de Dados em Portugal (RGPD) que está em prática desde 2018 e que já levou à aplicação de 131 coimas, no valor de mais de 2,54 milhões de euros. A Câmara Municipal de Lisboa foi uma das entidades visadas pela CNPD, no âmbito da partilha de dados sobre manifestantes contra o regime de Putin.

Mesmo assim Portugal é um dos países onde o número de coimas, e o valor aplicado, é mais reduzido, como mostra o relatório da DLA Piper que estimava em mais de 1,1 mil milhões o valor de multas aplicadas com a entrada em vigor do RGPD.  O Luxemburgo, a Irlanda e a França lideravam em 2021 a tabela das coimas individuais mais elevadas aplicadas, com uma coima recorde de 746 milhões de euros aplicada pela autoridade do Luxemburgo à Amazon, enquanto a Irlanda multou a WhatsApp em 225 milhões de euros e a França aplicou uma coima de 50 milhões de euros à Google.

Ainda em 2021, mesmo no último dia do ano a França tirou do bolso três novas coimas, uma de 90 milhões à Google e a que se soma outra de 60 milhões, e uma ao Facebook, também de 60 milhões de eurosPortugal juntou-se à lista com a multa de 1,2 milhões de euros ao Município de Lisboa.

5 contraordenações aplicadas ao INE

Na avaliação ao caso do INE, a CNPD concluiu que o Instituto Nacional de Estatística praticou cinco contraordenações, por infrações ao RGPD, no âmbito da operação censitária de 2021, tendo aplicado em cúmulo jurídico uma coima única no valor de 4,3 milhões de euros.

"A CNPD decidiu que o Instituto Nacional de Estatística (INE) tratou dados pessoais relativos à saúde e religião de forma ilícita, não cumpriu os seus deveres de informação aos respondentes do questionário do Censos 2021, violou os deveres de diligência na escolha do subcontratante, infringiu as disposições legais relativas à transferência internacional de dados e incumpriu a obrigação de realizar uma avaliação de impacto sobre a proteção de dados relativa à operação censitária", indica a CNPD no comunicado publicado no site.

Em relação ao INE, foram ainda consideradas violações, a atuação do instituto relativamente à transferências de dados para países terceiros e a não realização de uma avaliação de impacto sobre os dados pessoais.

A comissão entende que a atuação do INE traduz a prática de cinco contraordenações "previstas e punidas" pelo RGPD, sublinhando que as infrações "assumem um grau de gravidade significativo, atento o número de titulares de dados em causa (...), o contexto em que as mesmas foram praticadas, em especial a obrigatoriedade de resposta aos Censos 2021 e a convicção de que eram de resposta obrigatória".

A decisão da CNPD aponta à entidade responsável pela realização dos censos uma "atuação negligente", ao violar o dever de transparência e o dever de cuidado pela falta de informação aos titulares dos dados sobre a atividade em causa (realização dos censos).

A CNPD considera também que o INE agiu com dolo ao não verificar junto da empresa que iria recolher e gerir os dados pessoais se esta não passaria os dados a países terceiros.

Por isso, concluiu que duas contraordenações resultaram de negligência e outras três foram praticadas de forma dolosa.

"O INE conhecia, e não podia deixar de conhecer, o caráter vinculativo das suas obrigações e conformou-se com a possibilidade da realização dos factos de que vem acusado, pelo que se imputam ao arguido a título de dolo eventual", pode ler-se na deliberação do organismo com data de 02 de novembro de 2022.

Segundo a comissão, o INE revelou "um desvalor pelos princípios e obrigações previstos no RGPD, ao contar com uma intervenção da autoridade supervisora [CNPD], ao invés de tomar a iniciativa de assegurar que a operação censitária cumprisse aquele regime".

RGPD: 3 anos depois o Regulamento de Proteção de Dados ainda está longe de atingir os efeitos desejados
RGPD: 3 anos depois o Regulamento de Proteção de Dados ainda está longe de atingir os efeitos desejados
Ver artigo

As cinco contraordenações deram origem a cinco coimas que ascendiam a 6,5 milhões de euros. No entanto, mesmo reconhecendo um "elevado grau de censurabilidade das condutas do arguido" e a necessidade de uma "sanção que traduza a alta censurabilidade desse comportamento", o organismo acabou por relevar a ausência de antecedentes de infrações do INE, aplicando uma coima única de 4,3 milhões de euros.

A realização dos censos 2021 ficou envolta em polémica depois de ser conhecido o contrato com a empresa Cloudflare, responsável pela segurança do 'site' que recolheu as respostas aos censos, e que previa a transferência de dados pessoais para os Estados Unidos da América ou outros países. 

A Comissão Nacional de Proteção de Dados exigiu então a suspensão de qualquer transferência de dados pessoais, com o INE a suspender o contrato com empresa.

Na altura o presidente do INE refutou as acusações  numa comissão parlamentar onde sublinhou que a contratação da Cloudflare não implicou a transferência nem a cópia de dados das respostas dos cidadãos ao Censos 2021.

Francisco Lima afirmou que as críticas da CNPD, cuja presidente, Filipa Calvão, acusou na mesma comissão parlamentar o INE de não salvaguardar "os dados pessoais dos cidadãos" e de autorizar a empresa a transferi-los para países terceiros, "geram alarme sem necessidade e são desproporcionais".

Referiu ainda que o serviço contratado pelo INE com a Cloudflare "não implica nenhum tratamento de dados, não há transferência de dados para outros países" e que há "desproporcionalidade" na reação da CNPD, que "passa de uma interpretação para uma materialização de factos", considerando que se havia a possibilidade de acontecer "então é porque aconteceu".

"Não era um serviço de armazenamento, mas de cibersegurança. Olhar para isso como violação de proteção de dados parece-nos um contrassenso", afirmou Francisco Lima, que assegurou que a empresa declara ainda que os dados das respostas aos Censos não foram requisitados por nenhuma agência de segurança norte-americana.

Nota da Redação: A notícia foi atualizada com mais informação. Última atualização 16h12