Ignorar Comandos do Friso
Saltar para o conteúdo principal
Portal UMinho

Avaliação de Impacto sobre a Proteção de Dados




Portal UMinho > PT > UMinho > Proteção de Dados > Avaliação de Impacto sobre a Proteção de Dados


 Avaliação de Impacto sobre a Proteção de Dados

Artigo 35.º do Regulamento (UE) 2016/679 (RGPD)​ ​ ​

"1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. "

"2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado."

"3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.º 1 é obrigatória nomeadamente em caso de: 

  1. Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar

  2. Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou

  3. Controlo sistemático de zonas acessíveis ao público em grande escala."

"4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.º 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68.º.

"5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité."

"6. Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63.º sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados--Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União."

"7. A avaliação inclui, pelo menos:

  1. Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
  2. Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
  3. Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.º 1; e
  4. As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa."

    Na página Normas e Orientações internas apresenta-se um modelo para realização de Avaliação de Impacto sobre a Proteção de Dados.

"8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40.º por parte desses responsáveis ou subcontratantes."

"9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento."

"10. Se o tratamento efetuado por força do artigo 6.º, n.o 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento."

"11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam."


Critérios a observar para determinar a necessidade de realizar uma Avaliação de Impacto, a que se refere o nº1 do artigo 35.º,  segundo a Orientação WP248 rev.01 do Article 29 Data Protection Working Party/WP29.
(além das situações previstas no artigo 35.º n.º3 e n.º4 do RGPD)

O Responsável pelo tratamento deverá realizar uma Avaliação de Impacto quando se verifiquem pelo menos dois dos seguintes critérios :

  • Definição de perfis
    Utilizar dados pessoais para avaliar aspetos pessoais de pessoas singulares, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
  • Decisões automatizadas
    Tratamento destinado à tomada de decisões sobre os titulares dos dados e que produza efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar.
  • Controlo sistemático
    Tratamento utilizado para observar, monitorizar ou controlar os titulares dos dados, incluindo dados recolhidos através de redes, ou «controlo sistemático de zonas acessíveis ao público» (artigo 35.º, n.º 3, alínea c)). Este tipo de controlo é um critério porque os dados pessoais podem ser recolhidos em circunstâncias em que os titulares dos dados podem não estar cientes de quem está a recolher os seus dados e da forma como esses dados serão utilizados. Adicionalmente, pode ser impossível para os indivíduos evitarem estar sujeitos a este tipo de tratamento em espaço(s) público(s)
  • Dados sensíveis ou dados de natureza altamente pessoal
    O tratamento envolve dados de Categorias Especiais, ou outros dados sensíveis
  • Tratamento de grande escala
    De acordo com as “Orientações sobre os encarregados da proteção de dados (EPD),  WP 243" do Article 29 Data Protection Working party/WP29, os seguintes fatores devem ser tomados em consideração para determinar se o tratamento é efetuado em grande escala:
    - O número de titulares de dados afetados, em valor absoluto ou em percentagem da população em causa.
    - O volume de dados em quantidade e/ou diversidade dos dados objeto de tratamento
    - A duração, ou permanência, da atividade de tratamento de dados
    - A abrangência geográfica da atividade de tratamento
  • Cruzamento de dados provenientes de dois ou mais tratamentos com finalidades diferentes
    Quando o tratamento envolve o cruzamento de dados provenientes de dois ou mais tratamentos com finalidades diferentes e cuja interligação vá contra as razoáveis expectativas dos titulares
  • Vulnerabilidade dos Titulares
    Quando os Titulares não estão em situação de poder defender os seus direitos e interesses devido ao acentuado desequilíbrio de poder entre si e o responsável pelo tratamento. “Os titulares de dados vulneráveis podem ser crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento.”
  • Utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais
    A adoção de uma determinada técnica ou tecnologia inovadora pode ter consequências pessoais e socias que não são imediatamente obvias, pelo que devem ser estudadas.
  • Tratamento destinado a autorizar, alterar ou recusar o acesso dos titulares dos dados a um serviço ou a que estes celebrem um contrato.



  • Universidade do
    Minho
  • Largo do Paço
    4704-553 Braga
  • T.:253 601 100, 253 601 109
    E.: gcii@reitoria.uminho.pt
© Universidade do Minho - 2024