Artigo 35.o

Avaliação de impacto sobre a proteção de dados

  • Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, √Ęmbito, contexto e finalidades, for suscet√≠vel de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o respons√°vel pelo tratamento procede, antes de iniciar o tratamento, a uma avalia√ß√£o de impacto das opera√ß√Ķes de tratamento previstas sobre a prote√ß√£o de dados pessoais. Se um conjunto de opera√ß√Ķes de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa √ļnica avalia√ß√£o.
  • Ao efetuar uma avalia√ß√£o de impacto sobre a prote√ß√£o de dados, o respons√°vel pelo tratamento solicita o parecer do encarregado da prote√ß√£o de dados, nos casos em que este tenha sido designado.
  • A realiza√ß√£o de uma avalia√ß√£o de impacto sobre a prote√ß√£o de dados a que se refere o n.o¬†1 √© obrigat√≥ria nomeadamente em caso de:
    • a) Avalia√ß√£o sistem√°tica e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a defini√ß√£o de perfis, sendo com base nela adotadas decis√Ķes que produzem efeitos jur√≠dicos relativamente √† pessoa singular ou que a afetem significativamente de forma similar;
    • b) Opera√ß√Ķes de tratamento em grande escala de categorias especiais de dados a que se refere o artigo¬†9.o, n.o¬†1, ou de dados pessoais relacionados com condena√ß√Ķes penais e infra√ß√Ķes a que se refere o artigo¬†10.o; ou
    • c) Controlo sistem√°tico de zonas acess√≠veis ao p√ļblico em grande escala.
  • A autoridade de controlo elabora e torna p√ļblica uma lista dos tipos de opera√ß√Ķes de tratamento sujeitos ao requisito de avalia√ß√£o de impacto sobre a prote√ß√£o de dados por for√ßa do n.o¬†1. A autoridade de controlo comunica essas listas ao Comit√© referido no artigo¬†68.o.
  • A autoridade de controlo pode tamb√©m elaborar e tornar p√ļblica uma lista dos tipos de opera√ß√Ķes de tratamento em rela√ß√£o aos quais n√£o √© obrigat√≥ria uma an√°lise de impacto sobre a prote√ß√£o de dados. A autoridade de controlo comunica essas listas ao Comit√©.
  • Antes de adotar as listas a que se referem os n.os¬†4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coer√™ncia referido no artigo¬†63.o sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou servi√ßos a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circula√ß√£o de dados pessoais na Uni√£o.
  • A avalia√ß√£o inclui, pelo menos:
    • a) Uma descri√ß√£o sistem√°tica das opera√ß√Ķes de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses leg√≠timos do respons√°vel pelo tratamento;
    • b) Uma avalia√ß√£o da necessidade e proporcionalidade das opera√ß√Ķes de tratamento em rela√ß√£o aos objetivos;
    • c) Uma avalia√ß√£o dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o¬†1; e
    • d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de seguran√ßa e procedimentos destinados a assegurar a prote√ß√£o dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os leg√≠timos interesses dos titulares dos dados e de outras pessoas em causa.
  • Ao avaliar o impacto das opera√ß√Ķes de tratamento efetuadas pelos respons√°veis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avalia√ß√£o de impacto sobre a prote√ß√£o de dados, √© tido na devida conta o cumprimento dos c√≥digos de conduta aprovados a que se refere o artigo¬†40.o por parte desses respons√°veis ou subcontratantes.
  • Se for adequado, o respons√°vel pelo tratamento solicita a opini√£o dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem preju√≠zo da defesa dos interesses comerciais ou p√ļblicos ou da seguran√ßa das opera√ß√Ķes de tratamento.
  • Se o tratamento efetuado por for√ßa do artigo¬†6.o, n.o¬†1, al√≠nea¬†c) ou e), tiver por fundamento jur√≠dico o direito da Uni√£o ou do Estado-Membro a que o respons√°vel pelo tratamento est√° sujeito, e esse direito regular a opera√ß√£o ou as opera√ß√Ķes de tratamento espec√≠ficas em quest√£o, e se j√° tiver sido realizada uma avalia√ß√£o de impacto sobre a prote√ß√£o de dados no √Ęmbito de uma avalia√ß√£o de impacto geral no contexto da ado√ß√£o desse fundamento jur√≠dico, n√£o s√£o aplic√°veis os n.os¬†1 a 7, salvo se os Estados-Membros considerarem necess√°rio proceder a essa avalia√ß√£o antes das atividades de tratamento.
  • Se necess√°rio, o respons√°vel pelo tratamento procede a um controlo para avaliar se o tratamento √© realizado em conformidade com a avalia√ß√£o de impacto sobre a prote√ß√£o de dados, pelo menos quando haja uma altera√ß√£o dos riscos que as opera√ß√Ķes de tratamento representam.