Secondo la decisione del CNPD, le violazioni da parte dell'INE nel
trattamento di categorie particolari di dati personali, i doveri di informazione degli interessati e le norme applicabili all'assunzione di una società per la gestione dei dati.
e le norme applicabili all'assunzione di una società per la gestione dei dati raccolti nei censimenti.
raccolti nei censimenti.
Sono state prese in considerazione anche le violazioni relative alla
dell'Istituto per quanto riguarda i trasferimenti di dati verso Paesi terzi e la mancata realizzazione di una valutazione d'impatto sui dati personali.
una valutazione d'impatto sui dati personali.
La commissione ritiene che l'azione dell'INE rispecchi la
pratica di cinque infrazioni "previste e punite" dal RGPD, sottolineando che le
che le infrazioni "assumono un grado di gravità significativo, dato il numero di
numero di persone interessate (...), il contesto in cui sono state praticate, in particolare l'obbligo di
praticate, in particolare l'obbligatorietà della risposta al Censimento del 2021 e la
convinzione che fossero obbligatori".
La decisione del CNPD indica l'ente responsabile di
di realizzare i censimenti come un "atto negligente", violando il dovere di
trasparenza e il dovere di diligenza a causa della mancanza di informazioni agli
soggetti interessati sull'attività in questione (l'esecuzione dei censimenti).
Il CNPD ritiene inoltre che l'INE abbia agito con dolo non avendo
non ha verificato con la società che avrebbe raccolto e gestito i dati personali se questa
se non avrebbe trasmesso i dati a paesi terzi.
Pertanto, ha concluso che due reati amministrativi
sono stati commessi per negligenza, mentre altri tre sono stati commessi intenzionalmente.
"Possibile frode"
"L'INE era a conoscenza, e non poteva non esserlo, della natura vincolante dei suoi obblighi.
dei suoi obblighi ed era soddisfatta della possibilità di compiere i
fatti di cui è accusata, per i quali sono imputati all'imputato a titolo di
possibile frode", si legge nella delibera dell'organismo datata 02 novembre,
2022.
Secondo la commissione, l'INE ha rivelato "un'inosservanza dei
dei principi e degli obblighi previsti dal GPDR, facendo affidamento su un
dell'autorità di controllo [CNPD], invece di prendere l'iniziativa di garantire che l'operazione di censimento
iniziativa per garantire che l'operazione di censimento fosse conforme a tale regime".
Le cinque infrazioni hanno dato luogo a cinque multe per un importo di 6,5 milioni di euro.
milioni di euro.
Tuttavia, dopo aver riconosciuto un "elevato grado di censura della
condotta dell'imputato" e la necessità di una "sanzione che rifletta l'alto grado di
censura di questo comportamento", l'organismo ha finito per rivelare l'assenza di un registro di
di infrazioni da parte dell'INE, comminando un'unica multa di 4,3 milioni di euro.
La realizzazione dei censimenti del 2021 è stata avvolta da
polemiche dopo che il contratto con l'azienda Cloudflare, responsabile della sicurezza del sito che raccoglieva le risposte, è stato
sicurezza del sito che raccoglieva le risposte ai censimenti e che prevedeva il trasferimento dei dati personali a
che prevedeva il trasferimento di dati personali negli Stati Uniti d'America o in altri Paesi.
Stati Uniti o altri Paesi.
La Commissione nazionale per la protezione dei dati ha quindi chiesto la
di qualsiasi trasferimento di dati personali e l'INE ha sospeso il contratto con la società.
con l'azienda.