Dados pessoais – impacto sobre a proteção de dados

A Comissão Nacional de Proteção de Dados (“CNPD”), na qualidade de entidade administrativa independente com poderes de autoridade para controlo dos tratamentos de dados pessoais, apro-vou, nos termos do disposto no n.º 4 do artigo 35.º e alínea k) do n.º 1 do artigo 57.º do Regula-mento Geral sobre a Proteção de Dados (“RGPD”), o Regulamento n.º 1/2018, relativo à lista de tratamentos de dados pessoais sujeitos a prévia Avaliação de Impacto sobre a Proteção de Dados (“AIPD”).

Através do referido regulamento, a CNPD vem clarificar quais as situações, para além das já indi-cadas no n.º 3 do artigo 35.º do RGPD, em que o tratamento de dados pessoais deverá ser prece-dido por uma AIPD.

Refira-se em primeiro lugar que uma AIPD é um processo que deve ser realizado pelo Respon-sável pelo Tratamento, sendo obrigatório apenas em algumas situações. O seu objetivo é a miti-gação dos riscos associados à proteção de dados relativamente a novos projetos, sistemas, planos, propostas, estratégias ou políticas que envolvam o tratamento de dados pessoais.

A lista agora apresentada no Regulamento da CNPD não é exaustiva e tem como base a consulta pública por si realizada (através do Aviso n.º 136/2018, publicado no DR 2ª série, n.º 150, de 6 de Agosto de 2018), bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados (“CEPD”).
De acordo com o Regulamento n.º 1/2018, para além dos tratamentos de dados já indicados no RGPD, deverão envolver a realização de uma AIPD, os tratamento de dados pessoais que:

1. Impliquem a transmissão, por dispositivos eletrónicos, de dados pessoais relativos à saúde;
2. Acarretem a criação de perfis em grande escala;
3. Permitam rastrear a localização ou os comportamentos dos respetivos titulares – tais como tra-balhadores ou clientes – e que tenha como efeito a avaliação ou classificação destes;
4. Tratem dados biométricos para identificação inequívoca dos seus titulares;
5. Tratem dados genéticos de pessoas vulneráveis;
6. Estejam previstos no n.º 1 do artigo 9.º ou 10.º do RGPD ou que sejam dados de natureza alta-mente pessoal:

1. 1. Com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
   2. Para finalidades de arquivo de interesse público, investigação científica e histórica ou fins estatísticos;
   3. Que resultem numa interconexão de dados pessoais;
   4. Com base em recolha indireta, quando não é possível assegurar o direito a informação.

De referir, por fim, que conceitos como “dados de natureza altamente pessoal”, “perfis em grande escala”, “dados genéticos em grande escala” ou “novas tecnologias”, deverão sempre ser inter-pretados em conformidade com o exposto nas “Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 – WP248 rev.01, pp. 10-12”, aprovadas pelo Grupo de Trabalho do Artigo 29.