Según la decisión de la CNPD, están en juego infracciones del INE en el tratamiento de categorías especiales de datos personales, los deberes de información a los interesados y las normas aplicables a la contratación de una empresa para gestionar los datos recogidos en los censos.

También se consideraron infracciones la actuación del instituto en relación con las transferencias de datos a terceros países y la no realización de una evaluación de impacto sobre los datos personales.

La comisión entiende que la actuación del INE refleja la práctica de cinco infracciones "previstas y sancionadas" por el RGPD, destacando que las infracciones "revisten un grado de gravedad significativo, dado el número de interesados afectados (...), el contexto en el que se practicaron, en particular, la obligatoriedad de responder al Censo 2021 y la convicción de su obligatoriedad".

La decisión de la CNPD señala como "actuación negligente" de la entidad responsable de la realización de los censos, al vulnerar el deber de transparencia y el deber de diligencia por la falta de información a los interesados sobre la actividad en cuestión (realización de los censos).

La CNPD también considera que el INE actuó con dolo al no comprobar con la empresa que recogería y gestionaría los datos personales si no los cedería a terceros países.

Por ello, concluye que dos infracciones administrativas fueron consecuencia de una negligencia y otras tres se cometieron de forma dolosa.

"Posible fraude"

"El INE conocía, y no podía dejar de conocer, el carácter vinculante de sus obligaciones y se conformó con la posibilidad de llevar a cabo los hechos que se le imputan, por lo que se imputan al denunciado como dolo eventual", señala la deliberación del organismo fechada el 02 de noviembre de 2022.

Según la comisión, el INE puso de manifiesto "un desconocimiento de los principios y obligaciones previstos en el RGPD, al ampararse en una intervención de la autoridad de control [CNPD], en lugar de tomar la iniciativa para que la operación censal se ajustara a dicho régimen".

Las cinco infracciones dieron lugar a cinco multas por un importe de 6,5 millones de euros.

Sin embargo, tras reconocer un "alto grado de censura de la conducta imputada" y la necesidad de una "sanción que refleje la alta censura de esta conducta", el organismo acabó poniendo de manifiesto la ausencia de antecedentes de infracciones por parte del INE, imponiendo una única multa de 4,3 millones de euros.

La realización de los censos de 2021 estuvo envuelta en la polémica tras el contrato con la empresa Cloudflare, responsable de la seguridad de la web que recogía las respuestas a los censos, y que preveía la cesión de datos personales a Estados Unidos u otros países.

La Comisión Nacional de Protección de Datos exigió entonces la suspensión de cualquier transferencia de datos personales, y el INE suspendió el contrato con la empresa.