Como Realizar uma AIPD

Elementos Mínimos Obrigatórios

O Artigo 35.º n.º 7 do RGPD estabelece os elementos que toda a AIPD deve conter.

📋

1. Descrição do Tratamento

Descrição sistemática do tratamento, suas finalidades, categorias de dados e titulares, recipientes dos dados, retenção temporal.

⚡

2. Avaliação de Necessidade

Análise da necessidade e proporcionalidade do tratamento face às finalidades perseguidas. Existe alternativa menos intrusiva?

🔐

3. Avaliação de Risco

Identificação sistemática dos riscos para os direitos e liberdades dos titulares. Probabilidade e gravidade de cada risco.

📊

4. Medidas de Mitigação

Descrição detalhada de medidas técnicas e organizacionais para reduzir os riscos identificados (pseudonimização, encriptação, controlo de acesso, etc.).

🔋

5. Envolvimento de Stakeholders

Consulta com DPO, especialistas de IT/segurança, unidades de negócio, e perspectiva dos titulares quando apropriado.

🔍

6. Responsabilidades

Definição clara de responsabilidades pela implementação de medidas de mitigação e monitorização contínua.

Workflow de 7 Passos

Segue uma abordagem estruturada em 7 etapas para uma AIPD completa e documentada.

1

Triagem Inicial

2

Descrição do Tratamento

3

Análise de Risco

4

Definição de Medidas

5

Consulta DPO/Especialistas

6

Consulta Prévia (se aplicável)

7

Aprovação e Documentação

Descrição Pormenorizada de Cada Etapa

Passo 1: Triagem Inicial

Determine se a AIPD é obrigatória analisando os critérios do Artigo 35.º n.º 3 e a lista CNPD. Descreva o escopo do tratamento, finalidades, categorias de dados e titulares. Reúna informações básicas sobre tecnologias utilizadas e contexto operacional.

Passo 2: Descrição Completa do Tratamento

Documente de forma detalhada: (a) Descrição do fluxo de dados e sistemas; (b) Atores envolvidos (Responsável, Subcontratante, DPO, etc.); (c) Bases legais e legitimidade do tratamento; (d) Consentimento (se aplicável); (e) Períodos de retenção; (f) Medidas de segurança existentes.

Passo 3: Análise Sistemática de Risco

Utilizando metodologia estruturada (EDPB WP248 ou CNIL), identifique os riscos potenciais: (a) Risco de acesso não autorizado ou violação de dados; (b) Risco de exclusão arbitrária de titulares; (c) Risco de profiling discriminatório; (d) Risco de ingerência na privacidade. Avalie probabilidade e gravidade de cada risco.

Passo 4: Definição de Medidas de Mitigação

Para cada risco identificado, defina medidas técnicas (encriptação, pseudonimização, controlo de acesso) e organizacionais (formação, políticas, auditorias). Priorize as medidas conforme o nível de risco residual aceitável.

Passo 5: Consulta com Especialistas e DPO

Envolver o Encarregado de Proteção de Dados (obrigatório) e especialistas relevantes (IT, Segurança, Jurídico). Coletar pareceres e integrá-los na AIPD final. O DPO deve avaliar a adequação das medidas propostas.

Passo 6: Consulta Prévia (se Obrigatória)

Se a AIPD indicar risco elevado não adequadamente mitigado, procede consulta prévia à Autoridade de Controlo (CNPD em Portugal) conforme Artigo 36.º. A CNPD responderá em 30 dias.

Passo 7: Aprovação, Documentação e Monitorização

Obtenha aprovação formal do Responsável pelo Tratamento e DPO. Documente toda a AIPD de forma clara e acessível. Estabeleça calendário de revisão periódica (anualmente ou quando materialmente altere). Monitorize implementação de medidas.

Metodologias de Referência

Existem várias metodologias reconhecidas internacionalmente para estruturar a realização de AIPD.

Metodologia	Origem	Descrição
CNIL (França)	Comissão Nacional de Informática e Liberdades	Metodologia francesa com matriz de risco estruturada em 3 dimensões (ameaças, vulnerabilidades, consequências). Muito utilizada internacionalmente.
ICO (Reino Unido)	Information Commissioner's Office	Abordagem pragmática focada em demonstração de conformidade. Enfatiza documentação clara e consulta com titulares de dados.
ISO 29134	Organização Internacional de Normalização	Padrão internacional que define estrutura, metodologia e elementos de DPIA. Aplicável a qualquer contexto regulatório.
EDPB WP248	Conselho Europeu de Proteção de Dados	Parecer que detalha 9 critérios de avaliação de risco e procedimentos de consulta prévia. Orientação oficial europeia.

Entregáveis de uma AIPD

Uma AIPD completa deve produzir os seguintes documentos e artefatos.

Relatório Executivo

Resumo executivo para a gestão: descrição do tratamento, riscos identificados, medidas propostas, conclusão sobre conformidade.

Análise Técnica Detalhada

Documentação completa da análise de risco, incluindo matriz de risco, avaliação de vulnerabilidades e medidas de segurança propostas.

Parecer do DPO

Parecer independente do Encarregado de Proteção de Dados sobre a adequação e conformidade da AIPD.

Plano de Implementação

Cronograma de implementação das medidas de mitigação, responsabilidades, recursos necessários e calendário de revisão.

Registos de Consulta

Documentação das consultas internas (especialistas) e, se aplicável, consulta prévia com a Autoridade de Controlo.

Decisão de Tratamento

Decisão formal do Responsável pelo Tratamento autorizar ou condicionar a implementação do tratamento.

Particularidades por Tipo de Tratamento

Diferentes tipos de AIPD podem exigir adaptações metodológicas conforme o contexto específico.

Visite a página de Tipos de AIPD para ver guias específicas para:

Videovigilância: Análise de impacto visual, consentimento em espaços públicos, proporcionalidade.
Biometria: Avaliação de risco de identificação errónea, armazenamento seguro, consentimento específico.
Inteligência Artificial: Risco de discriminação algorítmica, explicabilidade, viés de dados.
Saúde: Confidencialidade reforçada, acesso limitado, conformidade com legislação sectorial.
Geolocalização: Intrusão na privacidade, rastreamento contínuo, consentimento granular.
Marketing Digital: Profiling comportamental, cookie tracking, proporcionalidade de recolha.
Monitorização RH: Equilíbrio entre segurança e privacidade dos colaboradores, representação dos trabalhadores.

Revisão e Atualização

A AIPD não é um documento estático. Deve ser revista periodicamente ou quando o contexto muda.

Quando Rever a AIPD:

Anualmente (boas práticas recomendam revisão anual mínima)
Quando há mudanças materiais no tratamento (finalidade, dados, sistemas)
Quando há identificação de novos riscos
Quando há incidente de segurança ou reclamação de titulares
Quando há mudanças legislativas ou recomendações de autoridades
Quando há atualização de tecnologias utilizadas

Mantenha um registo de todas as versões da AIPD e das datas de revisão.

Papel do DPO

O Encarregado de Proteção de Dados desempenha papel central na realização de AIPD.

Conforme o Artigo 39.º do RGPD, o DPO:

Fornece orientação sobre obrigações de AIPD
Coopera com a Autoridade de Controlo
Atua como ponto de contacto para titulares de dados
Revê e aprova a AIPD (onde designado)
Comunica riscos não adequadamente mitigados

Ver guia completo sobre o papel do DPO →

Próximos Passos

Compreendeu a metodologia de AIPD. Explore tipos específicos ou solicite serviços profissionais.

📸

Tipos de AIPD Frequentes

Videovigilância, biometria, IA, saúde, geolocalização e outros. Guias específicos para cada contexto.

Ver tipos →

📋

Serviços Profissionais

Realização completa de AIPD, revisão, formação e consultoria em conformidade com RGPD.

Ver serviços →

Assistência Profissional

A Audiqcer oferece serviços de realização completa, revisão e formação em AIPD.

Solicitar Diagnóstico

Descreva o contexto do seu tratamento para receberíamos recomendações personalizadas e estimativa de esforço.