No passado dia 27 de abril, a Comissão Nacional de Proteção de Dados (CNPD) ordenou ao INE a “suspensão do envio de dados pessoais do Censos 2021 para os EUA e para outros países terceiros sem um nível de proteção adequado” no prazo máximo de 12 horas.
Segundo o INE, “o resultado desta ação não irá afetar a segurança do website do Censos 2021, continuando a ser assegurada a total proteção dos dados pessoais”, mais tendo afirmado que não existia alojamento de dados pessoais fora do INE, quer em geral, quer no caso dos Censos em particular, e que a Cloudflare apenas prestava serviços de desempenho de segurança e nunca de alojamento.
Sucede que a suspensão trouxe a debate um dos temas mais impactantes em matéria de proteção de dados pessoais. A CNPD aproveita ainda para citar um dos mais recentes acórdãos do Tribunal de Justiça da União Europeia, o acórdão Schrems II, no qual, em traços breves, foi alegado o Facebook Irlanda tinha procedido à transferência indevida de dados pessoais seus para o Facebook Inc., nos EUA.
Sinteticamente, o TJUE assinalou que a vinculação das empresas à legislação europeia de proteção de dados mediante a adesão ao Privacy Shield, não impedia que as mesmas tivessem de cumprir a legislação norte-americana que é manifestamente mais intrusiva do ponto de vista dos direitos fundamentais dos titulares dos dados e, por conseguinte, contrária ao RGPD.
Significa isto, que o INE deveria de se ter debruçado sobre existência de proteção de dados do país de destino equivalente ao da UE, de forma a equacionar os riscos inerentes ao transito da informação para os servidores da Cloudflare. Por conseguinte, a CNPD evidência o não cumprimento por parte do INE da obrigação legal de Avaliação de Impacto sobre a Proteção de Dados, conforme previsto no n.º 1 alínea b) do n.º 3 do artigo 35.º do RGPD.
Face às considerações desenvolvidas pela CNPD, é expectável que se venha a desencadear um processo contraordenacional, uma vez que se verifica um incumprimento da Avaliação de Impacto sobre a Proteção de Dados.
Por outro lado, poderá também, em abstrato, desencadear pedidos de indemnização cível por parte dos titulares dos dados pessoais conforme estipula o artigo 82º do RGPD e artigo 33º da Lei nº 58/2019.
