Regulamento n.º 1/2018 – Relativo à Lista de Tratamentos de Dados Pessoais Sujeitos a Avaliação de Impacto sobre a Proteção de Dados

Consulte aqui o documento original

A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoaisme à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados (RGPD) –, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas
singulares têm de ser precedidos de uma AIPD.

O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de
dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD.

Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que
agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º, e tendo por referência as Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12, aprovadas pelo Grupo de Trabalho do Artigo 29 e assumidas pelo Comité Europeu de Proteção de Dados^[1] Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf. .

Alerta-se para o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD.

É pois uma lista dinâmica, sendo atualizada sempre que se entender necessário, recordando-se que o cumprimento do dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no
RGPD ou em legislação especial.

Assim, após a realização da referida consulta pública^[2] Cf. Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de agosto de 2018 e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados^[3]Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018-
portugal-sas-dpia-list_en , e de acordo com a alínea k)
do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD.

1. Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;

2. Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal^[4]Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para … Continue reading ;

3. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal^[5] Cf. Critério 4 das Orientações citadas (WP248 rev.01). com base em recolhaindireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;

4. Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala^[6] Cf. Critério 5 das Orientações citadas (WP248 rev.01). ;

5. Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes
ou apenas transeuntes), que tenha como efeito a avaliação ou classificação
destes^[7] Cf. Critério 1 das Orientações citadas (WP248 rev.01) , exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;

6. Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal^[8]Cf. Critério 4 das Orientações citadas (WP248 rev.01). para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;

7. Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis^[9]Cf. Critério 7 das Orientações citadas (WP248 rev.01) , com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;

8. Tratamento de dados genéticos de pessoas vulneráveis^[10]Cf. Critério 7 das Orientações citadas (WP248 rev.01) , com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.

9. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal^[11]Cf. Critério 4 das Orientações citadas (WP248 rev.01). com utilização de novas tecnologias ou nova utilização de tecnologias já existentes^[12]Cf. Critério 8 das Orientações citadas (WP248 rev.01) .

Lisboa, 16 de outubro de 2018