Projecto de Regulamento n.º 1/2018
A Comissão Nacional de Protecção de Dados (CNPD) elaborou a lista dos tipos de operações de tratamento de dados pessoais sujeitos a avaliação prévia de impacto sobre a proteção de dados (AIPD), conforme previsto no Regulamento Europeu de Protecção de Dados (RGPD) - Projecto de Regulamento n.º 1/2018.
Esta lista está aberta a consulta pública, pelo período de 30 dias úteis desde a sua publicação em Diário da República e é composta do seguinte teor:
1. Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD para finalidade ou finalidades distintas da que justificou originariamente a sua recolha (designadamente, com a finalidade de arquivo de interesse público, investigação científica ou fins estatísticos), com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares e seja precedida de uma avaliação de impacto sobre a proteção de dados;
2. Tratamento de informação decorrente da utilização de sensores ou outros dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais, com efeitos jurídicos sobre a esfera dos respetivos titulares ou os afete significativamente de forma similar, designadamente que permitam analisar ou prever a localização e movimentos, gostos ou interesses pessoais, consumos ou outros comportamentos e saúde (v.g., dispositivos médicos implantados ou aplicados em pessoas);
3. Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º do RGPD;
4. Tratamento de dados pessoais com base em recolha indireta dos mesmos quando não seja possível ou exequível assegurar o direito de informação nos termos do artigo 14.º do RGPD;
5. Tratamento de dados pessoais que implique ou consista na criação de perfis em larga escala;
6. Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos clientes;
7. Tratamento de dados biométricos para identificação inequívoca dos seus titulares, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
8. Tratamento de dados pessoais com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
9. Alteração significativa da arquitetura do sistema de informação em que assenta o tratamento de dados pessoais.
