Avaliação de Impacto sobre a Protecção de Dados — conceito, objetivos e enquadramento regulatório.
Conceito previsto no Artigo 35.º do RGPD e obrigatório desde 2018.
A Avaliação de Impacto sobre a Protecção de Dados (AIPD), também designada como Data Protection Impact Assessment (DPIA) na terminologia internacional, é um processo estruturado que permite identificar, analisar e avaliar os riscos que um determinado tratamento de dados pessoais pode representar para os direitos e liberdades das pessoas singulares.
Conforme estabelecido no Artigo 35.º, n.º 1 do RGPD, "quando um tipo de tratamento, nomeadamente se utilizar novas tecnologias, for susceptível de resultar num risco elevado para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deve, antes do tratamento, realizar uma avaliação do impacto do tratamento envisagado para a protecção de dados pessoais".
A AIPD não é um fim em si mesma, mas um instrumento de gestão de risco que visa:
A AIPD persegue múltiplos objetivos complementares no quadro da conformidade com o RGPD.
Garantir a adequação do tratamento de dados aos princípios e requisitos do RGPD, especialmente os Artigos 5.º, 32.º e 35.º.
Identificar e avaliar sistematicamente os riscos para os direitos e liberdades dos titulares dos dados.
Documentar de forma estruturada as medidas adoptadas para garantir a conformidade (accountability).
Informar a Autoridade de Controlo sobre tratamentos de alto risco antes da sua implementação (Artigo 36.º).
A AIPD insere-se numa ecossistema de ferramentas de avaliação de impacto. Conheça as diferenças.
| Instrumento | Âmbito | Enquadramento | Portal |
|---|---|---|---|
| AIPD | Dados pessoais, privacidade | RGPD (Artigo 35.º) | aipd.pt |
| FRIA | Regulamentação financeira | Lei 34/2015 (CVM) | aidf.pt |
| AICS | Cibersegurança industrial | Diretiva NIS 2 (2022/2555) | aics.pt |
| AIR | Impacto regulatório de políticas | Lei 35/2018 (RIA) | impactoregulatorio.pt |
Embora utilizando metodologias semelhantes de avaliação de risco, cada instrumento responde a objetivos regulatórios e contextos legais distintos.
A AIPD é uma inovação do RGPD, com aplicação obrigatória desde maio de 2018.
O Regulamento Geral de Proteção de Dados (UE) 2016/679 é adotado, introduzindo o conceito de AIPD no Artigo 35.º.
O RGPD torna-se aplicável e obrigatório em todos os Estados-Membros. A AIPD passa a ser obrigatória para tratamentos de alto risco.
O Conselho Europeu de Proteção de Dados publica o parecer sobre avaliação de impacto (WP248), estabelecendo 9 critérios de avaliação de risco.
A Comissão Nacional de Proteção de Dados (CNPD) publica recomendações e lista 22 categorias de tratamento que exigem AIPD em Portugal.
A AIPD é responsabilidade do Responsável pelo Tratamento (RT), com envolvimento do Encarregado de Proteção de Dados.
A obrigação legal de realizar a AIPD recai sobre o responsável pelo tratamento (RT). Pode delegar a execução, mas mantém-se responsável pelos resultados.
Quando designado (obrigatório em entidades públicas), o DPO desempenha papel central na orientação, revisão e aprovação da AIPD. Ver papel completo do DPO →
A AIPD deve contar com envolvimento de especialistas em IT, segurança, conformidade, jurídico e operacional conforme apropriado.
Em determinados casos, o RT deve consultar a Autoridade de Controlo antes da implementação.
O Artigo 36.º do RGPD estabelece que, quando uma AIPD indicar um risco elevado que o responsável pelo tratamento não consiga adequadamente mitigar, deverá consultar a Autoridade de Controlo antes de proceder ao tratamento.
Em Portugal, a CNPD mantém uma lista de tratamentos que requerem consulta prévia obrigatória, que são periodicamente atualizados. A não consulta prévia quando obrigatória pode resultar em sanções administrativas.
Compreendeu o conceito de AIPD. Saiba agora quando é obrigatória e como realizá-la.
A Audiqcer oferece serviços profissionais de realização, revisão e formação em AIPD.
Preencha o formulário para receber informações personalizadas sobre a sua AIPD.