O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 131

64

Artigo 29.º

Avaliação de impacto

1 - No caso de um certo tipo de tratamento ser suscetível de representar um elevado risco para os direitos,

liberdades e garantias das pessoas, o responsável pelo mesmo deve efetuar uma avaliação do impacto das

operações que o compõem antes de lhe dar início.

2 - Tendo em conta os direitos, liberdades e garantias das pessoas, a avaliação do impacto inclui:

a) Uma descrição geral das operações de tratamento previstas;

b) Uma avaliação dos riscos para os direitos, liberdades e garantias dos titulares dos dados;

c) As medidas previstas para fazer face aos riscos mencionados na alínea anterior;

d) As garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados

pessoais e demonstrar a conformidade do tratamento com a presente lei.

Artigo 30.º

Consulta prévia da autoridade de controlo

1 - O responsável pelo tratamento ou o subcontratante consultam a autoridade de controlo antes de

proceder ao tratamento de dados pessoais a integrar em ficheiro a criar nos casos em que:

a) A avaliação de impacto prevista no artigo anterior indique que o tratamento resultaria num elevado risco,

na ausência de medidas adequadas para atenuar esse risco; ou

b) O tipo de tratamento envolva um elevado risco para os direitos, liberdades e garantias dos titulares dos

dados, designadamente se utilizar novas tecnologias.

2 - A autoridade de controlo é consultada durante a elaboração de instrumentos jurídicos em preparação na

União Europeia ou em instituições internacionais e durante a elaboração de acordos bilaterais ou multilaterais

a celebrar entre o Estado português e outros estados, bem como de propostas legislativas e regulamentares

referentes ao tratamento de dados pessoais, podendo, igualmente, emitir pareceres, por iniciativa própria,

sobre qualquer questão relacionada com a proteção de dados pessoais.

3 - A autoridade de controlo pode elaborar e publicitar uma lista das operações de tratamento sujeitas a

consulta prévia nos termos do n.º 1.

4 - O responsável pelo tratamento fornece à autoridade de controlo a avaliação de impacto prevista no

artigo anterior e, quando solicitado, qualquer outra informação que lhe permita avaliar a conformidade do

tratamento com a presente lei, os riscos para a proteção dos dados pessoais e as respetivas garantias.

5 - Caso considere que o tratamento previsto no n.º 1 viola o disposto na presente lei, especialmente se o

responsável pelo tratamento não tiver identificado ou atenuado de forma suficiente os riscos, a autoridade de

controlo dá orientações por escrito ao responsável pelo tratamento ou ao subcontratante no prazo de seis

semanas a contar da receção do pedido de consulta, sem prejuízo de poder adotar outras medidas da sua

competência.

6 - O prazo previsto no número anterior pode ser prorrogado por um mês, tendo em conta a complexidade

do tratamento em causa, devendo a autoridade de controlo informar o responsável pelo tratamento ou o

subcontratante dessa prorrogação e dos respetivos fundamentos.

Artigo 31.º

Segurança do tratamento

1 - O responsável pelo tratamento e o subcontratante adotam as medidas técnicas e organizativas

apropriadas a fim de assegurarem um nível de segurança adequado ao risco, em particular no que diz respeito

ao tratamento das categorias especiais de dados pessoais referidos no artigo 6.º.

2 - No que respeita ao tratamento automatizado de dados, o responsável pelo tratamento ou o

subcontratante, tendo em conta a avaliação dos riscos, devem aplicar medidas que: