O legislador comunitário conferiu a todos os Estados Membros, matérias sobre as quais têm competência para legislar, dentro das limitações e princípios estabelecidos no RGPD.
Entre tais matérias, destaca-se a obrigação, de em certas situações, ser necessária a realização de Avaliação de impacto sobre a proteção de dados (AIPD), nos termos do artigo 35.º do RGPD.
No número 4 do artigo mencionado, o legislador contemplou a obrigação para as autoridades de controlo de cada Estado Membro, de elaborar e publicitar uma lista dos tipos de operações de tratamentos de dados pessoais sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do número 1.º do artigo 35.º.
No seguimento desta obrigação, e considerando a natureza normativa do projeto, a CNPD anunciou em Diário da República, no dia 6 de agosto de 2018, o projeto de Regulamento sobre os tratamentos de dados pessoais sujeitos a prévia Avaliação de Impacto sobre a Proteção de Dados, submetida por essa via, a consulta pública, para que os interessados apresentassem, por escrito, sugestões ou contributos.
Da obrigação mencionada, carecia a submissão da lista em questão ao Comité Europeu para a Proteção de Dados que, por sua vez teceu, as suas próprias considerações, que podem ser consultadas no seu website.
Ponderadas as sugestões e contributos, a CNPD publicou o Regulamento n.º 1/2018, no dia 31 de outubro de 2018, considerando a lista que ai transcreve dinâmica e não exaustiva, tendo esclarecido e encurtado a mesma, comparativamente àquela que fora submetida a consulta pública. Porém, não clarificou certos conceitos que se encontravam vagos, remetendo sempre para os critérios e orientações estabelecidos pelo Grupo de Trabalho 29 (WP 248).
O Regulamento aprovado pode ser consultado em https://www.cnpd.pt/bin/decisoes/regulamentos/regulamentos.htm.