A Comissão Nacional de Proteção de Dados aplicou uma coima de 4,3 milhões de euros ao Instituto Nacional de Estatística (INE) pela prática de cinco contraordenações por infrações ao RGPD em dezembro de 2022.
A referida coima resulta de alegadas más praticas de gestão de informação, mais concretamente a contratação de uma empresa norte-americana, a Cloudfare, para ser responsável pelo site de recolha dos Censos 2021. Decorreu que os dados obtidos de cerca de 1,8 milhões de portugueses foram transferidos para Estados terceiros, EUA e outros países, onde a empresa tem centenas de servidores alocados (México, Rússia, África do Sul, China, entre outros). O INE anunciou que iria recorrer da decisão.
Dado ter sido uma decisão histórica cujo desfecho parece longe de estar concluída, é importante relembrar com que argumentos a mesma foi tomada. Após inúmeras queixas a CNPD iniciou um processo de investigação ao Censos 2021, da responsabilidade do INE, uma vez que a operação censitária estaria a solicitar o fornecimento obrigatório de dados de identificação de cidadãos e esses dados seriam alegadamente transferidos para uma empresa sediada nos EUA.
A Deliberação 2021/533 concluiu que o cidadão ao aceder ao formulário dos Censos 2021, seria encaminhado para um dos servidores da Cloudfare, que segundo o contrato celebrado entre as partes poderia ser qualquer servidor, enfatizando que essa empresa possui mais de 200 datacenters localizados não só nos EUA, como no resto do mundo, e nem todos estão em harmonia com a legislação do RGPD.
A empresa detinha tanto da chave privada como da chave pública, estando apta a proceder à cifragem e decifragem de todas as comunicações entre cidadãos que acedam ao formulário e enviam os seus dados pessoais, alguns desses dados são até considerados dados pessoais especiais. Ou seja, o INE seria totalmente alheio a este procedimento e transmissão, detendo a Cloudfare o total controlo dos dados e posteriormente é que enviaria os mesmos para o INE.
A CNPD conclui também que não foi devidamente realizada uma completa e correta AIPD – Avaliação De Impacto Sobre A Proteção de Dados – nos termos do artigo 35.º do RGPD, que tivesse englobado todas as operações sobre dados pessoais no contexto da relação de subcontratação, ou seja, a operação de avaliação de Impacto sobre o transporte da informação para e dos servidores da Cloudflare.
Nem que seriam respeitadas as cláusulas contratuais-tipo, para transferência de dados do INE para a Cloudfare, nos EUA, uma vez que estas não vinculariam as autoridades norte-americanas pois as referidas autoridades poderiam aceder à informação no contexto de atividade de segurança nacional.
Por conseguinte, a CNPD deliberou nos termos artigo 58.º, nº2 alínea j) do RGPD que o Instituto Nacional de Estatística, no prazo máximo de 12 horas, suspendesse de imediato o envio, através de qualquer meio, dos dados pessoais do Censos 2021 para o EUA e para qualquer outro país terceiro, sem que existisse um nível de proteção devidamente adequado, devendo o INE garantir que os subcontratantes não estejam obrigados a cumprir uma legislação que afaste o cumprimento do RGPD.
A referida Deliberação/2021/533 foi considerada urgente e tomada com dispensa de audiência prévia nos termos do artigo 124.º, n.º 1, alínea a) do Código do Procedimento Administrativo, devido facto de ainda estar a decorrer a recolha do Censos que continuaria a colocar em risco os direitos liberdades e garantias de mais de quatro milhões de cidadãos.
O processo ficou finalizado com a Deliberação/2022/1072, após o INE ter sido notificado, na qualidade de arguido, do conteúdo do Projeto de Deliberação no qual foi imputada a prática, em autoria material e na forma consumada, de dez contraordenações, decorrentes da violação de disposições previstas no RGPD e convidado a apresentar a sua defesa nos termos do artigo 50.º do Decreto-Lei n.º 433/82, de 27 de outubro.
O INE ao exercer a sua defesa alegou:
- a incompetência da CNPD;
- a nulidade do Projeto de Deliberação;
- que o tratamento foi lícito;
- que não houve transferência de dados para países terceiros;
- que não houve violação de deveres de diligência nem de informação;
- que nem foi violado o princípio da minimização nas operações consideradas facultativas e que não seria necessária uma AIPD uma vez que a CNPD já teria feito uma avaliação na Autorização n.º 2600/2011.
A CNPD concluiu por aplicar ao INE uma coima única no valor de €4.300.000 (quatro milhões e trezentos mil euros), pelas seguintes contraordenações:
- Violação da proibição de tratamento de categorias especiais de dados pessoais no termos dos artigos 9.º, nº1 e 83.º, n.º 5 alínea a) do RGPD;
- Violação dos deveres de informação aos titulares dos dados nos termos dos artigos 12.º, 13.º e 83.º, n.º 5, alínea b) do RGPD;
- Violação do cumprimento das regras aplicáveis à contratação de entidades subcontratantes nos termos dos artigos 28.º, n.º 1, 6 e 7 e 83.º, n.º 4 alínea a) do RGPD;
- Violação do regime de transferências nos termos dos artigos 44.º, n.º 2, 46.º e 83.º, n.º 5 alínea c) do RGP;
- Violação da obrigação de realização de uma avaliação de impacto sobre a proteção de dados pessoais nos termos dos artigos 35.º, n.º 1, n.º 2, e n.º 3 alínea b) e 83.º, n.º 4 alínea a).
A CPND determinou a medida da coima tendo em conta os critérios definidos no artigo 83.º, n.º1 alíneas a) a k) do RGPD, considerando, resumidamente, que a violação da proibição de tratamento de categorias especiais de dados pessoais e a violação dos deveres de informação aos titulares dos dados foram praticadas com negligência e as restantes violações (do cumprimento das regras aplicáveis à contratação de entidades subcontratantes, do regime de transferências, e da obrigação de realização de uma avaliação de impacto sobre a proteção de dados pessoais) foram praticadas com dolo, em concurso efetivo.
Decorrente destes critérios, considerou a CPND necessário aplicar ao INE cinco coimas que somadas resultariam em €6.500.000 (seis milhões e quinhentos mil euros) nos termos do artigo 58.º, alínea b) n.º 2 do RGPD. Ora nos termos do artigo 83.º, n.º3 do RGPD o montante total da coima não pode exceder o montante especificado para a violação mais grave, neste caso seriam €20.000.000, e esse teria de ser o limite máximo abstratamente aplicável e o montante não pode ser inferior à mais elevada das coimas concretamente aplicadas às diversas contraordenações, que neste caso o valor mais elevado era €2.4000.000, nos termos do artigo 19.º, n.º3 do RGCO que se aplicaria subsidiariamente, ex vi artigo 45.º, da Lei 58/2019 de 08 de Agosto.
No entanto, a CNPD decidiu pela aplicação de uma coima única no valor de €4.300.000 ( quatro milhões e trezentos mil euros) por se verificar o cúmulo jurídico (existência de concurso efetivo ou puro, quer na vertente de concurso real quer na vertente de concurso ideal), teve em conta nomeadamente o elevado grau de censurabilidade das condutas do Arguido, indiferença na legislação aplicável mas também o facto do Arguido não possuir antecedentes de aplicações de contraordenações por violação de normas de proteção de dados.
A decisão tomada em dezembro de 2022 pode e foi impugnada nos termos do artigo 59.º do RGPD pelo INE. A coima aplicada pela CNPD ao INE foi de facto a de valor mais elevado no âmbito da proteção de dados. Não obstante da possibilidade de impugnação da decisão, é de facto um acontecimento inédito que nos leva a repensar e respeitar cada vez mais as medidas legislativas no que concerne à proteção de dados e criar meios preventivos dentro das organizações.
Decisão histórica, por si só, não só pelo grande número de dados de cidadãos em causa, como também pelo risco de obtenção indevida e ilícita de dados pessoais por parte de terceiros que não respeitam as normas do RGPD.
O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.