O Instituto Nacional de Estatística (INE) não definiu "medidas técnicas e organizativas minimamente suficientes e idóneas à proteção da informação pessoal tratada" durante a operação do Censos 2021, o que levou à aplicação, pela Comissão Nacional de Proteção de Dados (CNPD), de uma coima de 4,3 milhões de euros, por violações do Regulamento Geral de Proteção de Dados (RGPD). 

A deliberação, conhecida esta segunda-feira, é o culminar de uma averiguação levada a cabo pela CNPD na sequência de queixas apresentadas por cidadãos. 

Para determinar o valor da coima a aplicar, a CNPD levou em consideração "a natureza, a gravidade e a duração da infração", bem como "o número de titulares de dados afetados e o nível de dados por eles sofridos". E a conclusão foi a de que as violações em causa "assumem um grau de gravidade significativo", tendo em conta o número de titulares de dados pessoais em causa, leia-se, "a totalidade da população em Portugal", bem como "o contexto em que foram praticadas", ou seja, a elaboração do Censos, com as pessoas convencidas de que seria obrigatório responder a tudo. 

A intervenção da CNPD em relação ao Censos aconteceu logo em 2021, em abril, quando decorria ainda a operação censitária.  Ficou então a saber-se que o INE tinha contratado uma empresa norte Americana, a Cloudflare, com sede na Califórnia e que não estava garantido que a informação não acabasse por chegar a terceiros. 

Na altura, o INE anunciou logo que tinha suspendido o contrato com a Cloudflare, cessando dessa forma o envio de dados pessoais dos Censos "para os EUA e para outros países sem nível de proteção adequado". Mas a CNPD avançou com uma acção inspetiva, cuja deliberação final é agora conhecida. Ao todo, foi dado como provada a prática de cinco contraordenações, "em autoria material e na forma consumada", das quais duas praticadas com negligência e três com dolo eventual. 

A CNPD considerou que havia questões nos questionários, nomeadamente relacionadas com dados de saúde, que ainda que fossem de resposta facultativa, isso não ficava claro, deixando a possibilidade de os cidadãos assumirem que seriam de resposta obrigatória. Outra das conclusões é que o INE falhou, também, ao não ter realizado uma avaliação de impacto sobre os dados pessoais.

Esta decisão da CNPD é agora passível de recurso para os tribunais.

(notícia atualizada commais informação)