Regulamento relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados – CNPD


«Regulamento n.º 798/2018

A Comissão Nacional de Proteção de Dados (CNPD), nos termos e para os efeitos do artigo 139.º do Código do Procedimento Administrativo, torna público o seu Regulamento n.º 1/2018, aprovado ao abrigo do n.º 4 do artigo 35.º e da alínea k) do n.º 1 do artigo 57.º ambos do Regulamento (UE) do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito à proteção de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados.

14 de novembro de 2018. – A Presidente da CNPD, Filipa Calvão.

Regulamento n.º 1/2018 relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados

A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados (RGPD) -, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma AIPD.

O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD.

Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º, e tendo por referência as Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12, aprovadas pelo Grupo de Trabalho do Artigo 29 e assumidas pelo Comité Europeu de Proteção de Dados (1).

Alerta-se para o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD.

É pois uma lista dinâmica, sendo atualizada sempre que se entender necessário, recordando-se que o cumprimento do dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no RGPD ou em legislação especial.

Assim, após a realização da referida consulta pública (2) e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados (3), e de acordo com a alínea k) do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD.

1 – Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;

2 – Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (4);

3 – Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (5) com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;

4 – Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala (6);

5 – Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes (7), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;

6 – Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal (8) para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;

7 – Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis (9), com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;

8 – Tratamento de dados genéticos de pessoas vulneráveis (10), com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.

9 – Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (11) com utilização de novas tecnologias ou nova utilização de tecnologias já existentes (12).

(1) Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf.

(2) Cf. Aviso n.º 136/2018, publicado no Diário da República, 2.ª série, n.º 150, de 6 de agosto de 2018.

(3) Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018-portugal-sas-dpia-list_en.

(4) Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 (WP248 rev.01).

(5) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(6) Cf. Critério 5 das Orientações citadas (WP248 rev.01).

(7) Cf. Critério 1 das Orientações citadas (WP248 rev.01).

(8) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(9) Cf. Critério 7 das Orientações citadas (WP248 rev.01).

(10) Cf. Critério 7 das Orientações citadas (WP248 rev.01).

(11) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(12) Cf. Critério 8 das Orientações citadas (WP248 rev.01).»