SANZIONE RECORD AD UN SOGGETTO PUBBLICO:
L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO
L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.
L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.
L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.
All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.
Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.
Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.
Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.
