Atenção

Tendo em conta a melhoria do site oficial do DRE, tenho de ponderar a continuação deste site no futuro. Vou tentar fazer rapidamente um post com os prós e contras da manutenção deste site de modo a dar aos utilizadores uma forma de expressarem a sua opinião sobre este assunto.

Como a adaptação do software para obter o texto dos documentos a partir do novo site do dre é trivial, já estamos neste momento a actualizar a base de dados.

Outros Sites

Visite os nossos laboratórios, onde desenvolvemos pequenas aplicações que podem ser úteis:


Simulador de Parlamento


Desvalorização da Moeda

Regulamento 798/2018, de 30 de Novembro

Partilhar:

Sumário

Lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados

Texto do documento

Regulamento 798/2018

A Comissão Nacional de Proteção de Dados (CNPD), nos termos e para os efeitos do artigo 139.º do Código do Procedimento Administrativo, torna público o seu Regulamento 1/2018, aprovado ao abrigo do n.º 4 do artigo 35.º e da alínea k) do n.º 1 do artigo 57.º ambos do Regulamento (UE) do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito à proteção de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE - Regulamento Geral sobre a Proteção de Dados.

14 de novembro de 2018. - A Presidente da CNPD, Filipa Calvão.

Regulamento 1/2018 relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados

A Comissão Nacional de Proteção de Dados (CNPD) é a entidade administrativa independente com poderes de autoridade para o controlo dos tratamentos de dados pessoais, nos termos do n.º 1 do artigo 21.º e n.º 1 do artigo 22.º da Lei 67/98, de 26 de outubro, alterada pela Lei 103/2015, de 24 de agosto. De acordo com a alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE - Regulamento Geral sobre a Proteção de Dados (RGPD) -, compete-lhe elaborar e publicitar a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Nos termos do n.º 1 do artigo 35.º do RGPD, os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma AIPD.

O legislador europeu define, a título exemplificativo, três tipos de situações que preenchem os pressupostos desta obrigação do responsável pelo tratamento de dados, e que estão concretizados no n.º 3 do artigo 35.º do RGPD.

Para além destes, cada autoridade de controlo nacional tem de elencar outros tratamentos suscetíveis de implicar aquele risco, correspondendo assim a lista que agora se apresenta a tratamentos que também preenchem os pressupostos do n.º 1 do artigo 35.º, e tendo por referência as Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 - WP248 rev.01, pp. 10-12, aprovadas pelo Grupo de Trabalho do Artigo 29 e assumidas pelo Comité Europeu de Proteção de Dados (1).

Alerta-se para o facto de a presente lista não ser exaustiva, podendo ainda surgir, designadamente em função do desenvolvimento tecnológico, outras situações em que se justifique, nos termos do n.º 1 do artigo 35.º, realizar obrigatoriamente a AIPD.

É pois uma lista dinâmica, sendo atualizada sempre que se entender necessário, recordando-se que o cumprimento do dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no RGPD ou em legislação especial.

Assim, após a realização da referida consulta pública (2) e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer 18/2018 do Comité Europeu de Proteção de Dados (3), e de acordo com a alínea k) do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD.

1 - Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;

2 - Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (4);

3 - Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (5) com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;

4 - Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala (6);

5 - Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes (7), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;

6 - Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal (8) para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;

7 - Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis (9), com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;

8 - Tratamento de dados genéticos de pessoas vulneráveis (10), com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.

9 - Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal (11) com utilização de novas tecnologias ou nova utilização de tecnologias já existentes (12).

(1) Podem ser consultadas em Português em https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf.

(2) Cf. Aviso 136/2018, publicado no Diário da República, 2.ª série, n.º 150, de 6 de agosto de 2018.

(3) Disponível em Inglês em https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-182018-portugal-sas-dpia-list_en.

(4) Cf. Critérios 4 e 6 das Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 (WP248 rev.01).

(5) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(6) Cf. Critério 5 das Orientações citadas (WP248 rev.01).

(7) Cf. Critério 1 das Orientações citadas (WP248 rev.01).

(8) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(9) Cf. Critério 7 das Orientações citadas (WP248 rev.01).

(10) Cf. Critério 7 das Orientações citadas (WP248 rev.01).

(11) Cf. Critério 4 das Orientações citadas (WP248 rev.01).

(12) Cf. Critério 8 das Orientações citadas (WP248 rev.01).

311819491

Anexos

  • Extracto do Diário da República original: https://dre.tretas.org/dre/3540187.dre.pdf .

Ligações deste documento

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

  • Tem documento Em vigor 1998-10-26 - Lei 67/98 - Assembleia da República

    Transpõe para a ordem jurídica interna a Directiva nº 95/46/CE (EUR-Lex), do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. - Lei da Protecção de Dados Pessoais.

  • Tem documento Em vigor 2015-08-24 - Lei 103/2015 - Assembleia da República

    Trigésima nona alteração ao Código Penal, aprovado pelo Decreto-Lei n.º 400/82, de 23 de setembro, transpondo a Diretiva 2011/93/UE, do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, e cria o sistema de registo de identificação criminal de condenados pela prática de crimes contra a autodeterminação sexual e a liberdade sexual de menor; primeira alteração à Lei n.º 113/2009, de 17 de setembro; primeira alteração à Lei n.º 67/98, de 26 de outubro, e segunda alteração à Lei n.º 37/2008, de 6 de a (...)

Aviso

NOTA IMPORTANTE - a consulta deste documento não substitui a leitura do Diário da República correspondente. Não nos responsabilizamos por quaisquer incorrecções produzidas na transcrição do original para este formato.

O URL desta página é:

Atenção

Tendo em conta a melhoria do site oficial do DRE, tenho de ponderar a continuação deste site no futuro. Vou tentar fazer rapidamente um post com os prós e contras da manutenção deste site de modo a dar aos utilizadores uma forma de expressarem a sua opinião sobre este assunto.

Como a adaptação do software para obter o texto dos documentos a partir do novo site do dre é trivial, já estamos neste momento a actualizar a base de dados.

Outros Sites

Visite os nossos laboratórios, onde desenvolvemos pequenas aplicações que podem ser úteis:


Simulador de Parlamento


Desvalorização da Moeda