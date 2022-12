No passado dia 2 de novembro, a Comissão Nacional de Proteção de Dados (CNPD) decidiu aplicar ao Instituto Nacional de Estatística (INE) uma coima única, em cúmulo jurídico, no montante de 4,3 milhões de euros, pela prática de cinco contraordenações por infrações do Regulamento Geral sobre a Proteção de Dados (RGPD), tudo no seguimento de queixas apresentadas relativamente às atividades de tratamento de dados realizadas no âmbito do Censos 2021.

Esta decisão merece toda a atenção e uma análise aprofundada, não apenas devido ao montante da coima aplicada - o maior de sempre imposto pela CNPD - mas também pelo que representa para as empresas portuguesas que tratam dados pessoais na qualidade de responsáveis pelo tratamento.

Com efeito, retiram-se da decisão importantes ilações sobre o que pode - e deve - fazer-se para evitar coimas deste género. Destacamos algumas.

Em primeiro lugar, as transferências de dados para os E.U.A. ou para outro país fora da U.E. (neste caso, aparentemente o contrato admitia o trânsito de dados pessoais por qualquer dos 200 servidores da empresa destinatária) são ilegais a menos que o responsável pelo tratamento (neste caso, o INE) demonstre que legislação que permite o acesso por entidades governamentais a dados transferidos da U.E. para um país terceiro (no caso dos E.U.A. a secção 702 do FISA e o Decreto Executivo 12333) não é aplicável ao destinatário dos dados. Na prática, tal significa que constitui uma violação do RGPD a transferência de dados para, nomeadamente, prestadores de serviços de comunicações eletrónicas norte americanos (já que a referida legislação americana é-lhes aplicável). Desta forma, as empresas portuguesas deverão rever os seus procedimentos no que respeita a prestadores de serviços fora da U.E. com acesso a dados pessoais e confirmar (conseguindo demonstrar) que os mesmos não estão sujeitos a este tipo de legislação. Nesta matéria, é ainda de notar que a Comissão Europeia lançou muito recentemente, no dia 13 de dezembro, o processo para aprovar uma nova decisão de adequação para transferências de dados pessoais para os E.U.A. No entanto, a aprovação desta decisão não estará para breve.

Em segundo lugar, a CNPD condena a contratação de prestadores de serviços que agem por conta (como subcontratantes) no tratamento de dados pessoais, sem antes realizar uma auditoria material, referindo que existe uma violação do dever de diligência na escolha do subcontratante quando os requisitos previstos no RGPD não são confirmados materialmente. Sendo assim, os questionários de auditoria que são habitualmente utilizados para cumprir (formalmente) esse dever de diligência, deverão dar lugar à realização de uma verdadeira auditoria pelo responsável pelo tratamento para demonstração do cumprimento (material) de tais requisitos.

Em terceiro lugar, não basta ter uma política de privacidade num website para cumprir o dever de informação previsto no RGPD. Neste caso, o INE foi também sancionado pela CNPD por não cumprir o dever de informação aos respondentes do Censos 2021, não obstante existir uma política de privacidade no website do INE. No caso, entendeu a CNPD que a política do INE não era de fácil acesso e não versava sobre os tratamentos de dados no âmbito do Censos 2021. Retira-se desta decisão que as empresas deverão verificar e confirmar que prestam a informação aos titulares no momento da recolha dos dados de forma clara e que a mesma, para além de ser de fácil acesso, versa sobre os tratamentos de dados pessoais que efetivamente são realizados.

O INE poderá ainda recorrer judicialmente da decisão, tendo já sido noticiado que o irá fazer. Porém, embora a decisão da CNPD não possa ter-se como definitiva, convirá às empresas portuguesas prestar atenção aos ensinamentos dela resultantes para não serem surpreendidas com cominações do género na sua caixa de correio.

Isabel Bairrão, Associada Principal da Garrigues Portugal e responsável pela área de Privacidade e Proteção de Dados Pessoais