Ao longo de 66 páginas e mais de 400 pontos, a Comissão Nacional de Proteção de Dados (CNPD) explicou a aplicação de uma coima de 4,3 milhões de euros ao Instituto Nacional de Estatística (INE), que, até à data, é a mais pesada aplicada em Portugal no âmbito do Regulamento Geral de Proteção de Dados (RGPD).

A deliberação da CNPD, anunciada na semana passada, centra-se na atuação do INE durante os Censos de 2021, a maior atividade estatística do país e que, pela primeira vez, teve expressividade em respostas online. Aos olhos dos advogados, o parecer da CNPD vem não só deixar muita gente “em sentido” e relembrar a necessidade de conformidade com a proteção de dados, como também “abre uma grande caixa de Pandora relativamente a tudo aquilo que são os fluxos transfronteiriços”. A violação das regras de transferências de dados para o estrangeiro é mesmo a contraordenação que determina a coima parcelar mais pesada, de 2,4 milhões de euros.

A operação Censos 2021 arrancou a 19 de abril do ano passado, ficando como ponto assente que a resposta aos Censos era obrigatória e que quem não respondesse arriscaria uma coima entre os 500 e os 25 mil euros. Os portugueses aderiram às respostas online e, até 26 de abril, tinham sido submetidos 2,5 milhões de formulários de um universo total que procurava informação de mais de seis milhões de pessoas.

Da recusa a responder à oferta de alfaces. E se um dia o INE lhe bater à porta?

Mas, logo nos primeiros dias de recolha de informação, chegou à CNPD “um elevado número de queixas” relacionadas com os Censos. As mais relevantes prendiam-se com a legalidade do tratamento de dados considerando que o questionário estava associado ao nome do titular, com as perguntas sobre religião, com a segurança de dados e também com os fluxos internacionais de dados que podiam não assegurar um nível de privacidade em conformidade com a legislação europeia, segundo o relato feito pela CNPD ao contextualizar a deliberação.

Proteção de Dados. 10 perguntas para perceber o que está a acontecer

Mais de um ano depois da realização do inquérito, a entidade responsável pela proteção de dados em Portugal decidiu sancionar o INE por cinco contraordenações:

• “tratou dados pessoais relativos à saúde e religião de forma ilícita”;
• “não cumpriu os seus deveres de informação aos respondentes do questionário do Censos 2021”;
• violou os “deveres de diligência na escolha do subcontratante”;
• infrações nas “disposições legais relativas à transferência internacional de dados”;
• “incumprimento da obrigação de realizar uma avaliação de impacto sobre a proteção de dados relativa à operação censitária.”

O que diz a deliberação da CNPD?

No anúncio da deliberação, a CNPD considerava que o instituto não tinha prestado informação “clara e completa sobre o caráter facultativo” das respostas relativas à saúde e à religião.

Mas além desta questão da informação sobre as perguntas, a CNPD alonga-se na questão da escolha do subcontratante, a Cloudflare, com quem o INE firmou um contrato para o fornecimento de um serviço de CDN (rede de distribuição de conteúdos), que permite carregar sites de forma rápida, neste caso com o formulário dos inquérito dos Censos.

Para a entidade de proteção de dados, “não foi cumprido o dever de diligência na escolha do subcontratante, considerando que a verificação dos requisitos do n.º 3 do artigo 28.º do RGPD deve ser substantiva e não formal, não se limitando à escolha de um qualquer clausulado-padrão.” O RGPD determina as várias condições a cumprir na elaboração destes contratos (além do objeto, duração e finalidade do tratamento).

A CNPD considera que a “contratação da Cloudflare não mereceu qualquer negociação ou ‘due dilligence’ prévia do INE”, apontando o dedo ao instituto por se ter limitado “a subscrever em linha os serviços disponibilizados, em pacote, pela Cloudflare”. Autorizando, implicitamente, a Cloudflare “a tratar dados pessoais fora da Zona Económica Europeia, para qualquer um dos 200 servidores por esta utilizados, bem como a transferência dos dados pessoais para os EUA”.

No site da Cloudflare, é referida uma opção chamada “Cloudflare Data Localization Suite”, que permite circunscrever geograficamente os servidores a usar. Essa possibilidade é lembrada pela CNPD, que refere que o INE optou por contratualizar o pacote “Business”, que disponibiliza toda a rede de servidores da Cloudflare, não tendo optado pelo serviço que permite limitar a geografia dos servidores – e muitos destes servidores estão “situados em países que não asseguram uma proteção adequada dos dados pessoais”, sendo o servidor utilizado pelo cidadão que acedeu ao formulário escolhido por um algoritmo.

Ou seja, o INE não conseguiria saber e controlar, a partir do momento em que os dados entravam na rede da Cloudflare, por onde os dados pessoais dos respondentes circularam.

Apesar da Cloudflare ter um escritório em Lisboa – a CNPD diz que não pode ser considerado abonatório o facto da tecnológica ter esse escritório já que o contrato foi feito com a sede nos EUA –, era admitida a possibilidade de trânsito de dados pessoais por qualquer dos 200 servidores da empresa, tendo mesmo sido antecipado pelas partes “que os dados podem ser tratados fora do Espaço Económico Europeu.” A questão é que o acordo tem “as cláusulas contratuais-tipo aprovadas pela Comissão Europeia para a transferência de dados pessoais para os EUA, sem que se prevejam quaisquer medidas complementares que previnam o acesso aos dados por entidades governamentais do país terceiro, em consonância com o Acórdão Schrems II do Tribunal de Justiça da União Europeia”, é possível ler neste texto.

Este acórdão, também conhecido como Schrems II, data de julho de 2020. A decisão resulta de um caso que opôs o ativista austríaco Maximilian Schrems ao Facebook Irlanda. O ativista percebeu que os seus dados enquanto utilizador do Facebook estavam a ser transferidos para os EUA e exigiu que a situação fosse alterada. O Tribunal de Justiça da União Europeia considerou como inválidas as transferências de dados para os Estados Unidos. À luz desse desenvolvimento relativamente recente, a CNPD “concluiu que o INE infringiu os artigos 44.º e 46.º, n.º 2, do RGPD, no que diz respeito às transferências internacionais de dados.” O primeiro artigo citado pela CNPD determina o princípio geral das transferências de dados pessoais, enquanto o segundo contempla as transferências sujeitas a garantias adequadas.

Nas contraordenações estabelecidas pela CNPD está, ainda, a insuficiente avaliação prévia de impacto sobre os dados pessoais. Esta entidade considerou que essa avaliação feita pelo INE tinha um “âmbito circunscrito e insuficiente”.

Qual a razão da importância do tema das transferências internacionais?

Assim que os Censos foram lançados, no ano passado, logo a escolha da tecnológica Cloudflare como subcontratante foi questionada, surgindo dúvidas sobre se os dados recolhidos para este inquérito estatístico estariam a ser transferidos para os Estados Unidos sem as devidas cautelas impostas pelo regulamento, nomeadamente a possibilidade de, ao passarem o atlântico, os dados poderem ser acedidos pelo próprio governo norte-americano.

Contactada pelo Observador no ano passado, a CNPD argumentava que “o facto de haver uma empresa estabelecida em território da União Europeia, cuja sede está nos EUA, não quer dizer que sejam feitas transferências de dados para os EUA”. A Cloudflare dizia, então, que “não tinha havido transferências de dados dos Censos para os EUA”, o que significava que este país não teria tido acesso aos dados.

Os dados dos censos foram espiados pelos EUA? A polémica entre o INE e a Proteção de Dados em 7 respostas

Passado um ano, a CNPD considera, no entanto, que ficou provado que o INE “não fez a due diligence necessária a assegurar a adoção das medidas aptas a garantir o respeito pelos princípios e regras do RGPD”. Ao admitir o trânsito dos dados pessoais pelos tais 200 servidores, bem como a transferência de dados pessoais para os EUA, para a CNPD “não havia qualquer garantia no contrato de que os dados pessoais dos cidadãos residentes em Portugal” recolhidos para os Censos “não sejam acedidos pelas autoridades dos EUA, por intermédio da Cloudflare (…)”.

Durante a defesa, o INE argumentou, por outro lado, que os serviços da empresa norte-americana eram “a melhor opção para o sucesso em tempo útil e com a maior segurança e melhor desempenho dos serviços e infraestruturas tecnológicas, face às ameaças globais expectáveis”. Foi ainda alegado pelo INE que “não existem inúmeras soluções alternativas disponíveis no mercado que prestem serviços de desempenho e segurança com o nível de excelência, rigor e preocupação com a segurança e privacidade dos dados pessoais” como os da Cloudflare, sendo rebatido pela CNPD, que disse existir “várias empresas europeias que fornecem serviços de content delivery network que cumprem as exigências do RGPD”.

Ainda assim, o INE acabou, no decurso da elaboração dos Censos, por suspender o contrato com a Cloudflare, para que não ficassem dúvidas sobre a segurança da informação.

INE suspende contrato com Cloudflare, a empresa que garantia a segurança dos Censos online

O Observador contactou a Cloudflare para uma reação a esta decisão da CNPD, mas, até ao momento, não foi possível obter uma resposta.

No site da companhia, existe, no entanto, um campo dedicado à conformidade com o RGPD, onde explica que “depende das standard contractual clauses como mecanismo legal para transferência de dados do Espaço Económico Europeu para os Estados Unidos”. O acórdão Schrems II é também mencionado: “Anteriormente, a Cloudflare dependia da adequação da decisão no âmbito do privacy shield. No entanto, com a decisão do Tribunal de Justiça da União Europeia, em julho de 2020 [o acórdão Schrems II], foi invalidado o paradigma de privacy shield” [acordo entre EUA e União Europeia anterior ao RGPD], para essas transferências. “A invalidação do privacy shield não muda as fortes proteções de privacidade de dados que a Cloudflare tem com os dados pessoais que processamos em nome dos nossos clientes e vamos continuar a seguir os princípios de proteção de dados a que nos comprometemos quando fomos certificados no âmbito do privacy shield”, garante a empresa.

Que leitura fazem os especialistas desta deliberação da CNPD?

Os advogados ouvidos pelo Observador a propósito desta ação sancionatória ao INE sublinham o tema das transferências de dados internacionais como o ponto “mais apetitoso” da decisão. Joana Mota Agostinho, sócia da Cuatrecasas dedicada à proteção de dados e tecnologia e media, vê a deliberação como de “extrema utilidade e importância” e não tem dúvidas em eleger as transferências internacionais de dados como o ponto de destaque. “Tem sido um tema muito debatido, sobretudo no setor privado, mas com alguma dificuldade por parte das empresas de perceberem exatamente o seu alcance e a sua importância”, reconhece.

“A CNPD vem, em primeiro lugar, aplicar aquilo que é a decisão Schrems II. Esta Schrems II considera que as transferências internacionais para os EUA foram consideradas inválidas devido a uma legislação nacional americana, que permitiria às autoridades americanas terem acesso a dados pessoais de clientes da Europa por questões de segurança nacional”, contextualiza a sócia da Cuatrecasas.

A decisão da CNPD, considera Joana Mota Agostinho, vem sublinhar a importância a dar às transferências de dados internacionais, e “tem um impacto bastante significativo naquilo que é o ecossistema empresarial”, acredita. Nesse sentido, admite inclusive que “se abre uma grande caixa de Pandora relativamente a tudo aquilo que são os fluxos transfronteiriços”. “Temos esta conversa com os clientes e não há uma total perceção dentro das empresas de onde é que os dados efetivamente estão e por onde circulam. E isso é um grande calcanhar de Aquiles que esta decisão vem apontar.”

José Maria Alves Pereira, associado sénior da Abreu Advogados, também antecipa que, a partir de agora, “vai haver uma maior consciencialização das empresas para reverem os seus prestadores de serviços.”

“É uma decisão que compreendemos e que, considerando o que se encontra previsto na lei de proteção de dados, tem justificação e fundamentos claros”, explica por sua vez Sara Rocha, associada de tecnologia, media e comunicações da CMS. “Vem, acima de tudo, demonstrar que, contrariamente ao que algumas entidades ainda julgam, a lei de proteção de dados é de facto aplicável tanto a entidades privadas como públicas, independentemente da sua natureza e área de atuação, desde que a sua atividade implique o tratamento de dados pessoais.”

Tiago Félix da Costa, da sociedade de advogados Morais Leitão, tem uma perspetiva diferente: “Em geral, o tema das transferências internacionais de dados para os Estados Unidos parece-me claramente exagerado. Diria mesmo que é fruto de alguma histeria das instituições europeias.”

Neste ponto de vista, refere que “denota um certo colonialismo cultural quanto à utilização das tecnologias.” “As transferências existem e sempre existirão no chamado ‘mundo global’”, argumenta. “O certo é que as transferências para os EUA são possíveis, mas devem, segundo as autoridades, ser adotadas medidas de mitigação dos respetivos riscos.” Mas este advogado adianta que “ninguém sabe bem ao certo quais são” essas medidas. “Aliás, as próprias autoridades não se parecem comprometer com medidas concretas de mitigação de um risco, que, na minha opinião, foi sobreavaliado pelo Tribunal de Justiça da União Europeia.” O sócio da Morais Leitão contextualiza que o “INE terá ainda oportunidade de demonstrar que avaliou esse risco e as medidas para o mitigar, mas o mais interessante seria discutir como regular eficazmente as soberanias digitais.”

Uma coima “histórica” mas que ainda não é definitiva

“É uma decisão histórica, na medida em que é aplicada pela CNPD a maior coima, conhecida nem Portugal, em matéria de proteção de dados pessoais no pós-RGPD”, reconhece Tiago Félix da Costa, da Morais Leitão. Mas isso não quer dizer que seja definitiva. “E, mesmo sem se conhecer o processo, podemos identificar algumas fragilidades, tanto quanto à interpretação e aplicação das normas sobre proteção de dados, como quanto à interpretação e aplicação das normas de natureza processual e sancionatória”, antecipa. “Uma vez que a decisão não é definitiva [o INE recorreu], a procissão ainda vai no adro e haverá que esperar para ver se a coima aplicada subsiste ou não.”

Mas não é apenas a vertente monetária que entra aqui em jogo – também há quem destaque a questão reputacional. José Maria Simão, advogado da Pares Advogados, destaca que a deliberação poderá mesmo servir de exemplo para outras entidades. “É uma decisão que nos vem pôr a todos em sentido.”

Elsa Veloso, CEO da DPO Consulting, tem uma opinião semelhante. “Julgo que esta coima única é extremamente importante”, sublinha, considerando que o “INE apresentou uma fundamentação altamente e bem rebatida pela CNPD”. E, salientando a presunção de inocência do INE, sugere que “não ficaria mal” que o instituto pagasse a coima. “As coimas aplicadas são para ser pagas e respeitadas por toda a gente, como sinal de respeito social por aquilo que é uma comissão independente e com poderes próprios”.

Valor da coima poderia ser maior e chegar aos 6,5 milhões de euros

Somadas as cinco coimas descritas pela CNPD totalizavam um valor ainda mais elevado, na ordem de 6,5 milhões de euros: 1,6 milhões pela recolha de dados especiais; 1,6 milhões por violação dos deveres de informação aos titulares dos dados pessoais; 200 mil euros por violação das regras aplicáveis à contratação de entidades subcontratantes; 400 mil euros por violação da obrigação da realização de uma avaliação de impacto sobre a proteção de dados; e 2,4 milhões, a mais elevada, por violação do regime de transferência de dados pessoais.

Mas como é que o valor final da sanção a aplicar ao INE está mais de dois milhões de euros abaixo do total? Em parte, devido às próprias regras do regulamento de proteção de dados. “O regulamento prevê que têm de ser tidos em conta uma série de fatores — responsabilidade, dolo, negligência, se há práticas reiteradas, práticas anteriores”, enumera a advogada Elsa Veloso, especializada em proteção de dados e CEO da DPO Consulting. “A CNPD pesou uma série de fatores e decidiu aplicar uma coima única, mesmo quando o somatório das partes daria um valor mais elevado. Decidiu isso porque pode fazer uma ponderação e considerou que existiam alguns atenuantes para que a coima ficasse nos 4,3 milhões. Decorre da lei fazer a ponderação de tudo o que está em causa”.

A advogada explica ainda que a CNPD terá optado por “sancionar as práticas e não a violação dos princípios” como a legalidade, transparência, responsabilidade ou licitude, por exemplo. “A CNPD olhou para o global e ponderou algumas destas violações e puniu aquilo que tem consequências práticas na vida das pessoas, dos titulares dos dados”, contextualiza Elsa Veloso.

O INE foi ainda acusado de outras contraordenações, que a CNPD deixou cair nesta deliberação, dispensando mais coimas parcelares. Caíram, assim, as coimas pelas violações do princípio da responsabilidade; do princípio de licitude, lealdade e transparência; do princípio da minimização dos dados ou violação do dever. O INE também não foi sancionado pela violação do dever da comunicação à CNPD da designação do Encarregado de Proteção de Dados.

INE já disse que vai impugnar decisão. O que pode acontecer depois?

No próprio dia em que foi anunciada esta coima única, o INE disse, em declarações à agência Lusa, que vai impugnar a multa de 4,3 milhões de euros. “O INE tomou conhecimento da deliberação da CNPD, não concorda com a decisão e está a preparar o recurso de impugnação judicial”, disse o presidente do INE, Francisco Lima.

INE vai impugnar multa aplicada pela Comissão Nacional de Proteção de Dados

José Maria Simão, da Pares Advogados, reconhece a naturalidade da intenção do INE. “Ninguém leva uma coima de 4,3 milhões e não vai tentar não a ter.” Nesse sentido, dependendo da data em que o INE foi notificado sobre esta sanção, “o prazo para impugnar judicialmente a coima é de 20 dias corridos.”

Sara Rocha, da CMS, diz que o INE “ainda não deu a conhecer os motivos que julga não terem sido tidos em consideração pela CNPD, nem as alegações com as quais não concorda.” De qualquer forma, também reitera a esperança de que “sirva como um importante alerta para todas as entidades, públicas e privadas, de que a conformidade com a legislação de proteção de dados é, efetivamente, essencial”.

Não há bola de cristal que consiga prever quanto tempo poderá ser necessário para haver um desfecho. “Tudo está em aberto. Os tribunais podem manter ou revogar parcialmente ou totalmente esta decisão. Aguardemos”, diz Tiago Félix da Costa, sócio da Morais Leitão.

Já Joana Mota Agostinho antecipa um período interessante: “Impugnada judicialmente, será o tribunal a decidir, e vai ser muito aliciante para nós, profissionais da privacidade, acompanhar este caso, até porque vai ser a primeira vez que um tribunal se vai pronunciar relativamente a grandes questões em matéria de RGPD. Vai ser divertido de assistir.”