15.11.2018
Áreas de Prática: Propriedade Intelectual e Tecnologias de Informação
Setores: Tecnologia, Media & Telecomunicações
Dados pessoais – impacto sobre a proteção de dados
A Comissão Nacional de Proteção de Dados (“CNPD”), na qualidade de entidade administrativa independente com poderes de autoridade para controlo dos tratamentos de dados pessoais, apro-vou, nos termos do disposto no n.º 4 do artigo 35.º e alínea k) do n.º 1 do artigo 57.º do Regula-mento Geral sobre a Proteção de Dados (“RGPD”), o Regulamento n.º 1/2018, relativo à lista de tratamentos de dados pessoais sujeitos a prévia Avaliação de Impacto sobre a Proteção de Dados (“AIPD”).
Através do referido regulamento, a CNPD vem clarificar quais as situações, para além das já indi-cadas no n.º 3 do artigo 35.º do RGPD, em que o tratamento de dados pessoais deverá ser prece-dido por uma AIPD.
Refira-se em primeiro lugar que uma AIPD é um processo que deve ser realizado pelo Respon-sável pelo Tratamento, sendo obrigatório apenas em algumas situações. O seu objetivo é a miti-gação dos riscos associados à proteção de dados relativamente a novos projetos, sistemas, planos, propostas, estratégias ou políticas que envolvam o tratamento de dados pessoais.
A lista agora apresentada no Regulamento da CNPD não é exaustiva e tem como base a consulta pública por si realizada (através do Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de Agosto de 2018), bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados (“CEPD”).
De acordo com o Regulamento n.º 1/2018, para além dos tratamentos de dados já indicados no RGPD, deverão envolver a realização de uma AIPD, os tratamento de dados pessoais que:
- Impliquem a transmissão, por dispositivos eletrónicos, de dados pessoais relativos à saúde;
- Acarretem a criação de perfis em grande escala;
- Permitam rastrear a localização ou os comportamentos dos respetivos titulares – tais como tra-balhadores ou clientes – e que tenha como efeito a avaliação ou classificação destes;
- Tratem dados biométricos para identificação inequívoca dos seus titulares;
- Tratem dados genéticos de pessoas vulneráveis;
- Estejam previstos no n.º 1 do artigo 9.º ou 10.º do RGPD ou que sejam dados de natureza alta-mente pessoal:
-
- Com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
- Para finalidades de arquivo de interesse público, investigação científica e histórica ou fins estatísticos;
- Que resultem numa interconexão de dados pessoais;
- Com base em recolha indireta, quando não é possível assegurar o direito a informação.
De referir, por fim, que conceitos como “dados de natureza altamente pessoal”, “perfis em grande escala”, “dados genéticos em grande escala” ou “novas tecnologias”, deverão sempre ser inter-pretados em conformidade com o exposto nas “Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12”, aprovadas pelo Grupo de Trabalho do Artigo 29.