Consulte aqui o documento original
A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoaisme à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados (RGPD) –, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).
Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas
singulares têm de ser precedidos de uma AIPD.
O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de
dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD.
Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que
agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º, e tendo por referência as Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12, aprovadas pelo Grupo de Trabalho do Artigo 29 e assumidas pelo Comité Europeu de Proteção de Dados[1] Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf.
.
Alerta-se para o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD.
É pois uma lista dinâmica, sendo atualizada sempre que se entender necessário, recordando-se que o cumprimento do dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no
RGPD ou em legislação especial.
Assim, após a realização da referida consulta pública[2] Cf. Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de agosto de 2018
e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados[3]Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018-
portugal-sas-dpia-list_en
, e de acordo com a alínea k)
do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD.
1. Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
2. Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[4]Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para … Continue reading ;
3. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[5] Cf. Critério 4 das Orientações citadas (WP248 rev.01). com base em recolhaindireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;
4. Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala[6] Cf. Critério 5 das Orientações citadas (WP248 rev.01). ;
5. Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes
ou apenas transeuntes), que tenha como efeito a avaliação ou classificação
destes[7] Cf. Critério 1 das Orientações citadas (WP248 rev.01)
, exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;
6. Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal[8]Cf. Critério 4 das Orientações citadas (WP248 rev.01). para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;
7. Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis[9]Cf. Critério 7 das Orientações citadas (WP248 rev.01) , com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
8. Tratamento de dados genéticos de pessoas vulneráveis[10]Cf. Critério 7 das Orientações citadas (WP248 rev.01) , com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.
9. Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal[11]Cf. Critério 4 das Orientações citadas (WP248 rev.01). com utilização de novas tecnologias ou nova utilização de tecnologias já existentes[12]Cf. Critério 8 das Orientações citadas (WP248 rev.01) .
Lisboa, 16 de outubro de 2018
References
| ↑1 | Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf. |
|---|---|
| ↑2 | Cf. Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de agosto de 2018 |
| ↑3 | Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018- portugal-sas-dpia-list_en |
| ↑4 | Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 (WP248 rev.01) |
| ↑5 | Cf. Critério 4 das Orientações citadas (WP248 rev.01). |
| ↑6 | Cf. Critério 5 das Orientações citadas (WP248 rev.01). |
| ↑7 | Cf. Critério 1 das Orientações citadas (WP248 rev.01) |
| ↑8, ↑11 | Cf. Critério 4 das Orientações citadas (WP248 rev.01). |
| ↑9, ↑10 | Cf. Critério 7 das Orientações citadas (WP248 rev.01) |
| ↑12 | Cf. Critério 8 das Orientações citadas (WP248 rev.01) |