L’autorità di vigilanza portoghese sanziona l’Istituto nazionale di statistica (INE) portoghese per 4,3 milioni di euro

Nel 2021, l’Autorità di vigilanza portoghese (CNPD) ha ricevuto diversi reclami in merito all’indagine sul censimento nazionale che era ancora in corso in quel momento. Il censimento, organizzato da un ente pubblico, l’Istituto Nazionale di Statistica (INE), è in genere a risposta obbligatoria, soggetto a procedura di infrazione in caso di inosservanza da parte dei privati. E’ stata introdotta la possibilità per gli intervistati di compilare il questionario on-line utilizzando una password fornita via posta a ciascuna residenza familiare.

I reclami hanno riguardato principalmente: la liceità del trattamento dei dati personali a fini statistici, in quanto l’indagine richiedeva esplicitamente la completa identificazione di tutti i componenti del nucleo familiare conviventi nella stessa abitazione; la liceità del trattamento di categorie particolari di dati, quali i dati relativi alla religione e alla salute; e l’esistenza di trasferimenti internazionali di dati verso paesi terzi senza un adeguato livello di protezione. Va sottolineato che per lo svolgimento del censimento (ad esempio per garantire l’efficienza e la sicurezza della compilazione online del sondaggio), INE ha utilizzato i servizi CDN di una società statunitense, Cloudflare, Inc., con oltre 200 data center distribuiti su 100 paesi.

Alla luce delle denunce ricevute, il CNPD ha aperto un’istruttoria. A quel punto, il 26 aprile 2021, circa 2,5 milioni di moduli, contenenti i dati personali di oltre sei milioni di cittadini residenti in Portogallo, erano già stati presentati all’INE. Alla luce delle sue conclusioni preliminari, la CNPD ha emesso, ai sensi dell’articolo 58 (2) (j) GDPR, un ordine per INE di sospendere, entro 12 ore, tutti i flussi di dati verso gli Stati Uniti e verso qualsiasi altro paese terzo che non offrisse un servizio livello adeguato di protezione, tramite Cloudflare, Inc. o tramite qualsiasi altra società.

Dopo tale misura correttiva di carattere cautelare, l’istruttoria è proseguita su altri aspetti dell’oggetto delle denunce. La decisione finale era ormai presa.

Nella sua indagine, la CNPD ha individuato cinque violazioni del GDPR nell’ambito del trattamento dei dati del Censimento 2021, riguardanti le seguenti questioni:  

1. mancanza di liceità per il trattamento di categorie particolari di dati personali (art. 9(1) GDPR). Nei moduli che gli intervistati dovevano compilare, il CNPD ha concluso che le domande relative alla religione e ai dati sanitari, che per legge dovevano essere facoltative, invece che obbligatorie come il restante sondaggio, non erano debitamente contrassegnate come facoltative. La mancanza di informazioni ha impedito agli intervistati di formare il loro libero arbitrio e autodeterminazione se rispondere o meno alle domande che raccolgono categorie speciali di dati.   
2. mancato rispetto degli obblighi di trasparenza (artt. 12 e 13 GDPR), in particolare per quanto riguarda la fornitura di qualsiasi informazione relativa alle operazioni di trattamento, ad esempio mediante la visualizzazione di un’informativa privacy sul sito istituzionale di INE o su qualunque altra pagina.
3. mancanza di una DPIA (articolo 35(1),(2) e (3)(b) GDPR), che comprenda la totalità delle operazioni di trattamento e le dimensioni rilevanti del Censimento. Il documento fornito dal titolare del trattamento come DPIA è stato considerato di portata limitata e insufficiente in relazione al trattamento dei dati.
4. mancanza di due diligence circa la scelta del responsabile del trattamento (art. 28, commi 1, 6 e 7), ovvero mediante l’accettazione di un contratto tipo, che non è stata valutata nella sostanza per quanto riguarda i requisiti di A28(3). Il titolare del trattamento non ha assicurato che il responsabile del trattamento adottasse tutte le misure adeguate per conformarsi ai principi e alle regole del GDPR, inclusa la garanzia che i rischi del trattamento fossero mitigati. In base a questo contratto di elaborazione, INE ha convenuto che il foro per la risoluzione delle controversie sarebbero stati i tribunali californiani.
5. mancato rispetto dei requisiti legali per i trasferimenti internazionali di dati (articoli 44 e 46, paragrafo 2), come interpretato dalla CGUE nella sentenza Schrems II. Il titolare del trattamento ha autorizzato contrattualmente il responsabile del trattamento a trasferire i dati negli Stati Uniti ai sensi del SCC senza l’adozione di alcuna misura aggiuntiva, e autorizza altresì il responsabile a collaborare con altri (sub) responsabili del trattamento stabiliti in paesi terzi che non forniscono un livello equivalente di protezione garantita nell’UE. Il CNPD ha inoltre evidenziato la mancanza di controllo e conoscenza da parte di INE dell’ubicazione dei dati personali degli intervistati, una volta entrati nella rete del responsabile, nonché il pieno controllo, da parte del responsabile, degli strumenti di crittografia/decrittografia che assicurano la trasmissione dei dati dati.

Alla luce dei fatti e del ragionamento giuridico, la CNPD ha stabilito che il titolare del trattamento ha violato diverse disposizioni del GDPR nell’ambito del trattamento dei dati del censimento del 2021 e ha pertanto deciso, ai sensi dell’articolo 58 (2) (i) e dell’articolo 83 del GDPR e di alcuni disposizioni nazionali, di applicare al responsabile del trattamento un’unica sanzione pecuniaria di 4,3 milioni di euro. Tale decisione può essere impugnata dinanzi ai tribunali nazionali.

Approfondimenti:

•  delibera/2022/1072 (PT)