• A pessoa em causa já tem conhecimento da informação;
• É impossível contactar os titulares ou o esforço necessário é desproporcionado, o que comprometeria ou prejudicaria seriamente os objetivos do projeto.
Nestas situações, devem ser adotadas medidas adequadas para proteger os direitos e interesses dos participantes, como a disponibilização pública das informações essenciais sobre o tratamento (por exemplo, no site do projeto ou da instituição responsável).
A dispensa do dever de informação constitui, por si só, um fator de risco adicional. Por esse motivo, deve ser incluída na avaliação global de riscos. Projetos que recorram a dispensa de informação devem ser classificados, no mínimo, como de risco moderado, sendo recomendada a submissão à Comissão de Ética. Quando a dispensa é combinada com outros fatores críticos de risco, o projeto pode ser considerado de risco elevado. Dependendo dos fatores críticos de risco identificados, ou das políticas da instituição, pode ser obrigatório a formalização de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). O ponto 3 do Regulamento 1/2018 da CNPD estabelece a obrigatoriedade da realização de uma AIPD nos casos de dispensa do dever de informação envolvendo o tratamento de dados sensíveis, situação em que, além da eventual apreciação pela Comissão de Ética, é obrigatório o parecer do Encarregado de Proteção de Dados.