Foi hoje publicado, na 2º Série, o Regulamento n.º 798/2018, de 30 de Novembro que estabelece a lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.
A Comissão Nacional de Proteção de Dados (CNPD), nos termos e para os efeitos do artigo 139.º do Código do Procedimento Administrativo, torna público o seu Regulamento n.º 1/2018, aprovado ao abrigo do n.º 4 do artigo 35.º e da alínea k) do n.º 1 do artigo 57.º ambos do Regulamento (UE) do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito à proteção de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE – Regulamento Geral sobre a Proteção de Dados.
Assim, após a realização da referida consulta pública e tendo ponderado as sugestões proferidas nessa sede, bem como as recomendações contidas no Parecer n.º 18/2018 do Comité Europeu de Proteção de Dados , e de acordo com a alínea k) do n.º 1 do artigo 57.º e em cumprimento do disposto no n.º 4 do artigo 35.º, ambos do RGPD, a CNPD aprova a seguinte lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados, que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD:
1 – Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
2 – Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal;
3 – Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;
4 – Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala ;
5 – Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes (7), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;
6 – Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;
7 – Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
8 – Tratamento de dados genéticos de pessoas vulneráveis (10), com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados.
9 – Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.
Este diploma entra em vigor no dia 5 de Dezembro 2018.