Portogallo: non specificato ai cittadini che nel censimento era facoltativo rispondere a domande su salute e religione, sanzionato l’istituto di statistica
Sanzione da oltre 4 milioni di euro per l’Istituto nazionale di statistica portoghese (INE), che ha violato il GDPR non adempiendo ai propri doveri di informazione ai cittadini che durante il censimento del 2021 erano stati chiamati a rispondere a domande contenute nel questionario dell’istituto che chiedevano informazioni sulla loro salute e sulla propria appartenenza religiosa, senza però essere stati informati che tali risposte non erano obbligatorie, ma facoltative.
Questo non ha consentito ai cittadini che partecipavano al censimento di comprendere chiaramente la natura di tali domande, ritenendo così di essere obbligati a rivelare la religione professata e le loro informazioni sanitarie senza la possibilità di mantenere la propria privacy, quando in realtà avrebbero dovuto essere informati in modo trasparente per poter poi decidere liberamente in base alla propria volontà, condizione essenziale per il rispetto dei presupposti di liceità del trattamento di informazioni sensibili.
Secondo quanto rende noto la Commissione nazionale per la protezione dei dati personali (CNPD), l'applicazione della maxi sanzione adottate con Delibera 2022/1072 riguarda complessivamente cinque illeciti amministrativi per violazione del Regolamento generale sulla protezione dei dati, e le violazioni in questione “assumono un grado di gravità rilevante”.
L’autorità portoghese ha inoltre contestato all’INE il mancato rispetto dell'obbligo di diligenza nella scelta del subappaltatore, la nordamericana Cloudflare, per il trattamento dei dati del censimento dello scorso anno. Pur avendo una sede a Lisbona, il contratto era stato stipulato con una società con sede negli Stati Uniti, accettando che i dati dei cittadini fossero trattati al di fuori dell’Unione Europea, e violando le disposizioni di legge relative al trasferimento internazionale dei dati. Il contratto sottoscritto dall’INE includeva infatti clausole approvate dalla Commissione Europea per il trasferimento di dati personali negli USA, ma senza prevedere alcuna misura di sicurezza aggiuntiva.
Infine, l’autorità ha contestato all’ INE di non aver adempiuto all'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati nell'ambito del censimento.
L’istruttoria si quindi conclusa lo scorso 12 dicembre con l'approvazione del provvedimento finale della Commissione nazionale per la protezione dei dati personali portoghese che ha accertato le cinque infrazioni, per le quali ha irrogato all’istituto di statistica una sanzione per un importo complessivo di 4,3 milioni di euro.