O artigo 35.º determina que quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.
De acordo com a abordagem baseada no risco incorporada pelo RGPD, a execução de uma AIPD não é obrigatória para todas as operações de tratamento.
Uma AIPD só é exigida quando o tratamento for suscetível “de implicar um elevado risco para os direitos e liberdades das pessoas singulares” (Artigo 35.º, n.º1).
Nos termos do artigo 35.º, n.º 3, a realização de uma avaliação de impacto sobre a proteção de dados é obrigatória nomeadamente em caso de:
a) | Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;
b) | Operações de tratamento em grande escala de categorias especiais de dados; ou
c) | Controlo sistemático de zonas acessíveis ao público em grande escala.
As operações de tratamento «suscetíveis de implicar um elevado risco» que provavelmente exigem uma AIPD incluem:
- avaliações ou classificações, incluindo a definição de perfis e previsão;
- decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar;
- controlo sistemático;
- tratamento de dados sensíveis ou dados de natureza altamente pessoal;
- tratamento de dados em larga escala;
- estabelecer correspondências ou combinar conjuntos de dados;
- tratamento de dados relativos a titulares de dados vulneráveis;
- utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais;
- quando o tratamento impede os titulares de dados de exercer um direito ou de utilizar um serviço ou um contrato.
A CNPD aprovou, através do Regulamento 1/2018, de 30 de Novembro, uma listagem de tipos de tratamento de dados pessoais sujeitos a avaliações de impacto e que acrescem aos previstos no n.º 3 do artigo 35.º do RGPD:
1 — Tratamento de informação decorrente da utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde;
2 — Interconexão de dados pessoais ou tratamento que relacione dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal;
3 — Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal com base em recolha indireta dos mesmos, quando não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD;
4 — Tratamento de dados pessoais que implique ou consista na criação de perfis em grande escala;
5 — Tratamento de dados pessoais que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes, exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos;
6 — Tratamento dos dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou ainda dos dados de natureza altamente pessoal para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos, com exceção dos tratamentos previstos e regulados por lei que apresente garantias adequadas dos direitos dos titulares;
7 — Tratamento de dados biométricos para identificação inequívoca dos seus titulares, quando estes sejam pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
8 — Tratamento de dados genéticos de pessoas vulneráveis, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados;
9 — Tratamento de dados pessoais previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.
A obrigação de realizar uma AIPD é aplicável às operações de tratamento existentes suscetíveis de implicar um elevado risco para os direitos e as liberdades das pessoas singulares e em relação às quais não tenha havido alteração dos riscos, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
Por uma questão de boa prática, uma AIPD deve ser continuamente revista e regularmente reavaliada.