A Comissão Nacional de Proteção de Dados (CNPD) já colocou em consulta pública um projeto de reulamento com a lista de tratamentos de dados que deverão ser alvo de Avaliação de Impacto sobre a Proteção de Dados (AIPD). Entre as categorias de dados que deverão ser sujeitas a AIPD, destacam-se os dados captados por sensores ou dispositivos eletrónicos que permitam identificar comportamentos ou preferências, e ainda informação biométrica ou que resulta de sistemas que permitem localizar pessoas. Os dados cedidos por terceiros ou que passaram a ser trabalhados com novas tecnologias também deverão ser alvo de uma AIPD por parte das empresas que armazenam essa informação. A lista de tratamentos de dados sujeitos a AIPD foi publicada na passada sexta-feira, 13 de julho, mas os 30 dias de consulta pública só passam a contar quando se der a publicação no Diário da República.
As AIPD são da responsabilidade das próprias empresas ou organismos estatais que gerem os dados pessoais de clientes, fornecedores, parceiros ou trabalhadores. Estas entidades poderão levar a cabo as AIPD com recursos humanos próprios, ou eventualmente, solicitarem os préstimos de empresas especializadas.
Nas AIPD, deverão estar descritos os propósitos da recolha e tratamento de dados, bem como os riscos inerentes à perda de informação, e a eventuais danos para as liberdades e garantias dos cidadãos. As AIPD deverá estar disponível no caso de a CNPD procederem a alguma fiscalização.
A CNPD não refere qualquer periodicidade para a realização das AIPD e também não faz qualquer menção sobre eventuais penalizações para quem não realizar as AIPD em conformidade com o regulamento da CNPD agora publicado.
Seguindo algumas das diretrizes do Regulamento Europeu, o primeiro artigo da lista agora revelada pela CNPD determina que todos os tratamentos de dados pessoais efetuados cujas finalidades mudaram têm de ser sujeitos a AIPD.
No segundo artigo da lista de dados sujeitos a AIPD, a CNPD propõe ainda que se analise o «tratamento de informação decorrente da utilização de sensores ou outros dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais», que permitam identificar necessidades em termos de saúde ou padrões comportamentais.
As AIPD deverão ser igualmente feitas quando se procede ao «tratamento de dados pessoais que implique ou consista na criação de perfis em larga escala», ou quando se pretende «rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), exceto quando o tratamento seja indispensável para a prestação de serviços requeridos especificamente pelos clientes».
Na biometria, serão exigidas as AIPD quando há «identificação inequívoca dos seus titulares». A alteração de arquiteturas dos sistemas usados no tratamento de dados ou o uso de novas tecnologias para esse mesmo tratamento podem ser suficientes para realizar as AIPD.
A CNPD admite que a lista de tratamentos de dados sujeitos a AIPD possa ainda ser alterada, depois dos contributos que venham a ser recolhidos durante o período de consulta pública.
A lista de tratamento de dados agora conhecida pretende dar seguimento ao Regulamento Geral de Proteção de Dados (RGPD) que foi aprovado em abril de 2016 pela Parlamento Europeu – e cuja adaptação às leis nacionais está atualmente em fase de debate no Parlamento Português.
