Secondo la decisione del CNPD, le violazioni da parte dell'INE nel trattamento di categorie particolari di dati personali, i doveri di informazione degli interessati e le norme applicabili all'assunzione di una società per la gestione dei dati. e le norme applicabili all'assunzione di una società per la gestione dei dati raccolti nei censimenti. raccolti nei censimenti.

Sono state prese in considerazione anche le violazioni relative alla dell'Istituto per quanto riguarda i trasferimenti di dati verso Paesi terzi e la mancata realizzazione di una valutazione d'impatto sui dati personali. una valutazione d'impatto sui dati personali.

La commissione ritiene che l'azione dell'INE rispecchi la pratica di cinque infrazioni "previste e punite" dal RGPD, sottolineando che le che le infrazioni "assumono un grado di gravità significativo, dato il numero di numero di persone interessate (...), il contesto in cui sono state praticate, in particolare l'obbligo di praticate, in particolare l'obbligatorietà della risposta al Censimento del 2021 e la convinzione che fossero obbligatori".

La decisione del CNPD indica l'ente responsabile di di realizzare i censimenti come un "atto negligente", violando il dovere di trasparenza e il dovere di diligenza a causa della mancanza di informazioni agli soggetti interessati sull'attività in questione (l'esecuzione dei censimenti).

Il CNPD ritiene inoltre che l'INE abbia agito con dolo non avendo non ha verificato con la società che avrebbe raccolto e gestito i dati personali se questa se non avrebbe trasmesso i dati a paesi terzi.

Pertanto, ha concluso che due reati amministrativi sono stati commessi per negligenza, mentre altri tre sono stati commessi intenzionalmente.

"Possibile frode"

"L'INE era a conoscenza, e non poteva non esserlo, della natura vincolante dei suoi obblighi. dei suoi obblighi ed era soddisfatta della possibilità di compiere i fatti di cui è accusata, per i quali sono imputati all'imputato a titolo di possibile frode", si legge nella delibera dell'organismo datata 02 novembre, 2022.

Secondo la commissione, l'INE ha rivelato "un'inosservanza dei dei principi e degli obblighi previsti dal GPDR, facendo affidamento su un dell'autorità di controllo [CNPD], invece di prendere l'iniziativa di garantire che l'operazione di censimento iniziativa per garantire che l'operazione di censimento fosse conforme a tale regime".

Le cinque infrazioni hanno dato luogo a cinque multe per un importo di 6,5 milioni di euro. milioni di euro.

Tuttavia, dopo aver riconosciuto un "elevato grado di censura della condotta dell'imputato" e la necessità di una "sanzione che rifletta l'alto grado di censura di questo comportamento", l'organismo ha finito per rivelare l'assenza di un registro di di infrazioni da parte dell'INE, comminando un'unica multa di 4,3 milioni di euro.

La realizzazione dei censimenti del 2021 è stata avvolta da polemiche dopo che il contratto con l'azienda Cloudflare, responsabile della sicurezza del sito che raccoglieva le risposte, è stato sicurezza del sito che raccoglieva le risposte ai censimenti e che prevedeva il trasferimento dei dati personali a che prevedeva il trasferimento di dati personali negli Stati Uniti d'America o in altri Paesi. Stati Uniti o altri Paesi.

La Commissione nazionale per la protezione dei dati ha quindi chiesto la di qualsiasi trasferimento di dati personali e l'INE ha sospeso il contratto con la società. con l'azienda.