CCR Legal

Legal Flash

Publicada a lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados

Flash Imobiliário - Orçamento do Estado - impacto no Imobiliário

Enquadramento

A Comissão Nacional de Proteção de Dados publicou a 31 de outubro de 2018, o seu primeiro regulamento no âmbito do Regulamento Geral sobre a Proteção de dados (RGPD) relativo à lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre Proteção de Dados (AIPD).

Este regulamento, que resulta da aplicação da alínea k) do n.º 1 do artigo 57.º e do n.º 4 do artigo 35.º, vem clarificar as categorias de dados que estão obrigados a avaliação e demonstração de conformidade com o RGPD.

O que é a Avaliação de Impacto sobre Proteção de Dados (AIPD)?

É o processo que descreve o tratamento, avalia a necessidade e proporcionalidade do tratamento dos dados pessoais, ajudando a gerir os riscos para os direitos e liberdades de pessoas singulares.

Através de uma AIPD o responsável pelo tratamento de dados avalia os riscos para os direitos e as liberdades dos titulares dos dados e identifica as medidas previstas para reduzir esses riscos para um nível aceitável, em conformidade com o RGPD. Da avaliação deverá resultar um documento com as medidas que serão implementadas para fazer face a esses riscos.

Qual a importância de uma AIPD?

A AIPD é um instrumento importante em matéria de responsabilização, uma vez que ajuda os responsáveis pelo tratamento dos dados não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento.

É obrigatória a realização de uma AIPD para todas as operações de tratamento de dados?

Não é obrigatório realizar uma AIPD para todas as operações de tratamento de dados. Só existe obrigação de realizar uma AIPD quando o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares.

O RGPD identifica no artigo 35.º algumas das operações nas quais são obrigatórias a realização de uma AIPD e estabelece que as autoridades de controlo (em Portugal a CNPD), deverão tornar pública a lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados.

O que é alterado com o Regulamento 1/2018?

Até à aprovação do Regulamento n.º 1/2018 existia alguma latitude na avaliação do tratamento de dados sujeitos a AIPD, atendendo a que a abordagem baseada no risco incorporada no RGPD dispõe que não é obrigatório realizar uma AIPD para todas as operações de tratamento de dados pessoais.

Com a aplicação do regulamento em análise, o cenário altera-se substancialmente, ficando claro e expresso quais os dados deverão ser sujeitos a uma AIPD.

De acordo com CNPD, a lista de tratamentos de dados pessoais sujeitos a AIPD não encerra todos as situações passíveis de serem consideradas como objeto de AIPD, existindo outras que deverão ser consideradas, além das que já resultavam da aplicação do n.º 3 do artigo 35.º do RGPD.

Quem é responsável pela realização de uma AIPD?

O responsável pelo tratamento de dados é responsável por garantir a realização da AIPD. A realização da AIPD pode ser efetuada por terceiros, dentro ou fora da organização, mas o responsável pelo tratamento continua a ser o responsável último por essa tarefa, o qual deve solicitar o parecer ao Encarregado de Proteção de Dados, no caso de ter sido designado.

Se o tratamento for total ou parcialmente efetuado por um subcontratante, o subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias.

Quais as consequências da não realizar uma AIPD quando obrigatório?

Não realizar uma AIPD quando o tratamento de dados pessoais está sujeito à mesma, realizar uma AIPD de forma incorreta, ou não consultar a CNPD quando necessário pode resultar numa coima até 10 milhões de euros ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Que entidades podem ser afetadas por esta regulação?

Empresas e entidades do setor da saúde, empresas tecnológicas que atuem com dados, entidades públicas com dados pessoais, empresas com dados de filiação sindical, laboratórios, entidades públicas ou privadas que exijam registo criminal, empresas e entidades que lidem com dados biométricos ou genéticos de pessoas vulneráveis (crianças, idosos, doentes), empresas que lidem com dados que permitam rastrear localização, (incluindo concessionárias, plataformas eletrónicas de transporte), empresas públicas de gestão de mobilidade urbana, empresas concessionárias de estacionamento, etc.

Quais os dados deverão ser obrigatoriamente objeto de uma AIPD?

  • (i) Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
  • (ii) Interconexão de dados pessoais ou tratamento que relacione dados pessoais relativos a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, bem como o tratamento de dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa, condenações penais e infrações ou com medidas de segurança conexas;
  • (iii) Tratamento de dados pessoais previstos no número anterior ou dados de natureza altamente pessoal (exemplo, um hospital geral que mantenha registos médicos dos doentes, comunicações eletrónicas cuja confidencialidade deve ser protegida, dados de localização cuja recolha põe em causa a liberdade de circulação), com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação;
  • (iv) Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala;
  • (v) Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes, exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;
  • (vi) Tratamento dos dados previstos no n.º 2 ou ainda dos dados de natureza altamente pessoal para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei;
  • (vii) Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis, com exceção dos tratamentos previstos e regulados por lei;
  • (viii) Tratamento de dados genéticos de pessoas vulneráveis (crianças, idosos, doentes, requerentes de asilo, e casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento, como exemplo, empregados) com exceção de tratamentos previstos e regulados por lei;
  • (ix) Tratamento de dados pessoais previstos ou dados de natureza altamente pessoal com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.

Quais os elementos que deverão constar de uma AIPD?

Apesar de não ser especificado a avaliação de forma detalhada e serem utilizados conceitos jurídicos amplos e indeterminados, que requerem análise jurídica, a avaliação deverá incluir: (i) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento; (ii) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos; (iii) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos; e, (iv) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o RGPD.

É necessário consultar a CNPD?

É obrigatório consultar a CNPD, através de um procedimento de consulta prévia, quando os riscos residuais forem elevados e o responsável pelo tratamento de dados não identifique soluções para dar uma resposta adequada aos riscos identificados, ou seja, os riscos permaneçam elevados.

Além disso, o responsável pelo tratamento deve consultar a autoridade de controlo sempre que o direito do Estado-Membro exija que os responsáveis pelo tratamento consultem a autoridade de controlo e/ou dela obtenham uma autorização prévia em relação ao tratamento.

A lista de AIPD é fechada?

A lista de tratamento de dados pessoais sujeitos a AIPD é aberta e, conforme alerta a CNPD, a mesma tem um caráter dinâmico de forma a permitir a adequação a novas situações que possam ser identificadas pela experiência de aplicação do RGPD. Note-se que o dever de realizar a referida avaliação não dispensa os responsáveis do cumprimento das restantes obrigações previstas no RGPD ou em legislação especial.

A utilização de soluções inovadoras ou novas soluções tecnologias poderá obrigar a um AIPD?

Conforme resulta das Orientações relativas à AIPD, do grupo de trabalho do art.º 29.º para a proteção de dados, de 4 de abril de 2017, combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico, bem como a implementação de outras soluções poderá desencadear a obrigatoriedade de uma AIPD. Isto acontece porque a utilização dessa tecnologia pode envolver novas formas de recolha e utilização de dados, possivelmente com elevado risco para os direitos e as liberdades dos indivíduos.


Para mais informações contacte:


Partilhe