- Anúncio n.º 136/2018 – Diário da República n.º 150/2018, Série II de 2018-08-06
Comissão Nacional de Proteção de Dados
Consulta pública do projeto de regulamento relativo à lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados
«Anúncio n.º 136/2018
A Comissão Nacional de Proteção de Dados torna público, nos termos do n.º 1 do artigo 101.º do Código do Procedimento Administrativo, aprovado pela Lei n.º 4/2015, de 7 de janeiro, que se encontra para consulta o Projeto de Regulamento n.º 1/2018 relativo à lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.
12 de julho de 2018. – A Presidente da Comissão Nacional de Proteção de Dados, Filipa Calvão.
Nota justificativa da consulta pública
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados – RGPD), é aplicável desde 25 de maio de 2018.
Para efeito dos artigos 51.º e 55.º do RGPD, a Comissão Nacional de Proteção de Dados (CNPD), enquanto entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto, é a autoridade portuguesa com as atribuições previstas no artigo 57.º do RGPD e titular dos poderes previstos neste diploma.
O n.º 4 do artigo 35.º do RGPD impõe à autoridade de controlo de cada Estado-Membro o dever de elaborar e publicitar uma lista dos tipos de operações de tratamentos de dados pessoais sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.º 1 do mesmo artigo. Impõe ainda o dever de comunicação dessa lista ao Comité Europeu de Proteção de Dados, para efeito de emissão de parecer nos termos do n.º 1 do artigo 64.º do RGPD. Assim, de acordo com a alínea k) do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD apresenta o projeto de lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.
Considerando a natureza normativa do projeto de lista, a CNPD vem sujeitá-lo a consulta pública, para que os interessados apresentem, por escrito, as sugestões ou contributos que entendam pertinentes, que serão devidamente ponderados, sem prejuízo do dever de tomar em conta o teor do parecer do Comité Europeu para a Proteção de Dados, nos termos e com as consequências definidas nos n.os 7 e 8 do artigo 64.º e no artigo 65.º do RGPD.
As sugestões e demais contributos podem ser apresentados no prazo de 30 dias úteis a contar da data da publicação do projeto, através do endereço eletrónico consulta.publica@cnpd.pt ou, por correio postal, para a morada Rua D. Carlos I, n.º 134, 1.º, 1200-651 Lisboa.
Projeto de Regulamento n.º 1/2018, relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados
A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados (RGPD) -, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).
Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma AIPD.
O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD. Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º
Sublinha-se o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD. Esta é uma lista dinâmica, sendo atualizada sempre que se entender necessário.
Os responsáveis pelo tratamento devem ter em devida atenção que a realização da referida avaliação de impacto não os dispensa do cumprimento das restantes obrigações previstas no RGPD ou em legislação especial.
Assim, além dos previstos no n.º 3 do artigo 35.º do RGPD, a CNPD determina que estão sujeitos a prévia AIPD os seguintes tratamentos de dados pessoais:
1 – Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD para finalidade ou finalidades distintas da que justificou originariamente a sua recolha (designadamente, com a finalidade de arquivo de interesse público, investigação científica ou fins estatísticos), com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares e seja precedida de uma avaliação de impacto sobre a proteção de dados;
2 – Tratamento de informação decorrente da utilização de sensores ou outros dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais, com efeitos jurídicos sobre a esfera dos respetivos titulares ou os afete significativamente de forma similar, designadamente que permitam analisar ou prever a localização e movimentos, gostos ou interesses pessoais, consumos ou outros comportamentos e saúde (v.g., dispositivos médicos implantados ou aplicados em pessoas);
3 – Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º do RGPD;
4 – Tratamento de dados pessoais com base em recolha indireta dos mesmos quando não seja possível ou exequível assegurar o direito de informação nos termos do artigo 14.º do RGPD;
5 – Tratamento de dados pessoais que implique ou consista na criação de perfis em larga escala;
6 – Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos clientes;
7 – Tratamento de dados biométricos para identificação inequívoca dos seus titulares, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
8 – Tratamento de dados pessoais com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
9 – Alteração significativa da arquitetura do sistema de informação em que assenta o tratamento de dados pessoais.»