2018/11/14

Tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados

Rita Ferreira Ramos aborda a questão da Avaliação de Impacto sobre a Proteção de Dados (AIPD) e o respetivo processo no tratamento de dados pessoais.

1. No passado dia 16 de Outubro de 2018, a Comissão Nacional de Proteção de Dados (CNPD) aprovou o Regulamento nº 1/2018 relativamente aos tratamentos sujeitos a Avaliação de Impacto sobre a Proteção de Dados (AIPD), na sequência do número 4, do artigo 35º do Regulamento Geral sobre Proteção de Dados (RGPD).

2. Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.

3. Nos termos do número 3, do artigo 35º do RGPD, a realização de uma AIPD é obrigatória nomeadamente:

(a) Quando se realize uma avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, e essa mesma avaliação seja a base para a adoção de decisões que produzem efeitos jurídicos, ou, que afetem significativamente de forma similar o titular dos dados; ou

(b) Quando se realizem operações de tratamento em grande escala de categorias de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa; ou

(c) Quando se realizem operações de tratamento em grande escala de categorias de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas; ou

(d) Quando ocorra um controlo sistemático de zonas acessíveis ao público em grande escala.

4. O Regulamento nº 1/2018 foca-se bastante nas operações de tratamento de dados pessoais que têm como objeto as seguintes categorias de dados pessoais:

(a) Categorias especiais de dados pessoais, ou seja, dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa; e,

(b) Dados pessoais relacionados com condenações penais e infrações, ou seja, dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas; e,

(c) Dados de natureza altamente pessoal, os quais incluem, para além das categorias anteriores, dados como documentos pessoais, mensagens de correio eletrónico, diários, notas de dispositivos eletrónicos de leitura equipados com funções de introdução de notas, bem como informações muito pessoais incluídas em aplicações onde ficam registados eventos da vida dos indivíduos.

5. Com a publicação do Regulamento nº 1/2018, a CNPD (enquanto autoridade de controlo nacional) determina a obrigatoriedade da realização da AIPD para o seguinte conjunto de operações de tratamento:

(a) Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde (por exemplo, software que contenha processos clínicos);

(b) Interconexão de dados pessoais ou tratamento que relacione categorias especiais de dados, ou, dados pessoais relacionados com condenações penais e infrações, ou, dados de natureza altamente pessoal (por exemplo, relacionar opiniões políticas e filiação sindical com o fim de perceber qual será um possível comportamento, perante a empresa, por parte do trabalhador);

(c) Tratamento de categorias especiais de dados, ou, dados pessoais relacionados com condenações penais e infrações, ou, dados de natureza altamente pessoal com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD (por exemplo, recolha de dados dos titulares, através de redes sociais, com o fim de estabelecer um perfil);

(d) Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala (por exemplo, uma aplicação para o telemóvel que indique os restaurantes com maior probabilidade de serem do agrado do utilizador);

(e) Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes, exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos (por exemplo, contadores da luz que recorram a inteligência artificial, e desta forma poder chegar a perceber a que horas o titular está mais tempo em casa)

(f) Tratamento de categorias especiais de dados, ou, dados pessoais relacionados com condenações penais e infrações, ou, dados de natureza altamente pessoal para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares (por exemplo, utilização de informações sobre convicções religiosas, e estabelecer um padrão geográfico);

(g) Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados (por exemplo, utilização de sistemas de controlo de registo de atividades dos seus trabalhadores, como o registo de atividade de internet);

(h) Tratamento de dados genéticos de pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;

(i) Tratamento de categorias especiais de dados, ou, dados pessoais relacionados com condenações penais e infrações, ou, dados de natureza altamente pessoal com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.

6. Por fim, alertamos para o seguinte:

(a) A AIPD ao abrigo do RGPD é um instrumento que visa gerir os riscos para os direitos dos titulares dos dados e, como tal, avalia-os na perspetiva dos titulares dos dados;

(b) Podem ser utilizadas diferentes metodologias realizar a AIPD;

(c) Não é necessário realizar uma AIPD para operações de tratamento que tenham sido previamente autorizadas pela CNPD, exceto, quando a operação de tratamento tenha sofrido alterações desde a autorização e seja suscetível de implicar um elevado risco (por exemplo, porque se começou a utilizar uma nova tecnologia ou porque os dados pessoais passaram a ser utilizados para uma finalidade diferente);

(d) Uma AIPD deve ser continuamente revista e regularmente reavaliada;

(e) A realização da AIPD é parte das suas obrigações gerais em matéria de responsabilização;

(f) A publicação de uma AIPD não é obrigatória, mas a publicação parcial da AIPD ou de um resumo ou uma conclusão ajuda a fomentar a confiança e demonstrar responsabilidade e transparência.


Rita Ferreira Ramos | Advogada Estagiária | rita.ramos@pra.pt