Telf. : (+351) 213 243 750    Email: [email protected]

audiqcer - logotipo

Telf. : (+351) 213 243 750    Email: [email protected]

Regulamento 1/2018 – Relativo à lista de Tratamentos de Dados Pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados

Sep 17, 2021 | Legislação

Consulte aqui o documento original

A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados (RGPD) –, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma AIPD.

O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD.

Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º, e tendo por referência as Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12, aprovadas pelo Grupo de Trabalho do Artigo 29 e assumidas pelo Comité Europeu de Proteção de Dados[ref]Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf.[/ref] .

Alerta-se para o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD.

É pois uma lista dinâmica, sendo atualizada sempre que se entender necessário, recordando-se que o cumprimento do dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no RGPD ou em legislação especial.

Assim, após a realização da referida consulta pública[ref]Cf. Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de agosto de 2018[/ref] e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados[ref] Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018-
portugal-sas-dpia-list_en[/ref], e de acordo com a alínea k) do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD.

  1. Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
  2. Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[ref] Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 (WP248 rev.01)[/ref]
  3. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[ref] Cf. Critério 4 das Orientações citadas (WP248 rev.01)[/ref]com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;
  4. Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala[ref]Cf. Critério 5 das Orientações citadas (WP248 rev.01)[/ref];
  5. Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes[ref]Cf. Critério 1 das Orientações citadas (WP248 rev.01)[/ref] , exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;
  6. Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal[ref]Cf. Critério 4 das Orientações citadas (WP248 rev.01)[/ref] para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;
  7. Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis[ref]Cf. Critério 7 das Orientações citadas (WP248 rev.01)[/ref] , com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
  8. Tratamento de dados genéticos de pessoas vulneráveis[ref]Cf. Critério 7 das Orientações citadas (WP248 rev.01)[/ref], com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.
  9. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[ref]Cf. Critério 4 das Orientações citadas (WP248 rev.01)[/ref] com utilização de novas tecnologias ou nova utilização de tecnologias já existentes[ref]Cf. Critério 8 das Orientações citadas (WP248 rev.01)[/ref] .

Lisboa, 16 de outubro de 2018