Quando é Obrigatória a AIPD?

Critérios Legais (RGPD Artigo 35.º)

O RGPD estabelece que a AIPD é obrigatória quando o tratamento seja susceptível de resultar num elevado risco. Existem 3 situações que disparam automaticamente essa obrigatoriedade.

🔍

Profiling Sistemático

Artigo 35.º n.º 3 alínea a)
Avaliação sistemática e exaustiva de aspectos pessoais, incluindo definição de perfis para análise ou predição de aspectos relacionados com desempenho profissional, situação económica, saúde, preferências pessoais ou interesses.

📊

Grande Escala

Artigo 35.º n.º 3 alínea b)
Tratamento em grande escala de categorias especiais de dados (Art. 9.º) ou dados relativos a condenações penais e infrações (Art. 10.º).

📷

Controlo Sistemático

Artigo 35.º n.º 3 alínea c)
Controlo sistemático de zonas acessíveis ao público em grande escala (videovigilância, reconhecimento facial, etc.).

Critérios do EDPB (WP248) — 9 Elementos

O Conselho Europeu de Proteção de Dados definiu 9 critérios adicionais para avaliar se um tratamento resulta em risco elevado.

Avaliação ou Scoring: Tratamento envolve avaliação ou scoring automático com efeito jurídico ou impacto significativo.
Decisões Automatizadas: Processamento envolve decisões automatizadas sem intervenção humana.
Vigilância Sistemática: Monitorização sistemática de comportamento de forma extensiva.
Dados Sensíveis: Processamento de dados especiais ou sensíveis em larga escala.
Combinação de Dados: Cruzamento de dados de diferentes fontes ou novas formas de processamento.
Integração Tecnológica: Utilização de novas tecnologias ou combinação tecnológica inovadora.
Dados de Menores: Envolve crianças, menores ou grupos vulneráveis.
Grande Escala: Afeta número significativo de titulares de dados ou volume significativo de dados.
Exclusão/Inclusão: Pode resultar em negação de acesso a direitos, oportunidades ou serviços.

Categorias CNPD (22 Tipos de Tratamento Obrigatório)

A Comissão Nacional de Proteção de Dados identificou 22 categorias de tratamento que exigem AIPD em Portugal, independentemente da análise caso a caso.

1. Tratamento sistemático de dados biométricos para fins de identificação
2. Videovigilância em grande escala
3. Análise de dados para toma de decisões automáticas com efeito jurídico
4. Profiling sistemático de crianças ou grupos vulneráveis
5. Dados genéticos
6. Dados de saúde processados em larga escala
7. Dados relativos a condenações penais
8. Localização geográfica em tempo real
9. Sistemas de inteligência artificial para gestão de RH
10. Análise comportamental para fins comerciais
11. Processamento em larga escala para decisões que afetam direitos
12. Combinação de bases de dados de diferentes fontes
13. Processamento de dados de menores para efeitos de marketing
14. Sistemas de reconhecimento facial
15. Análise de padrões de comportamento em linha
16. Segmentação de populações para fins de exclusão
17. Processamento de dados sensíveis de minorias
18. Transferências internacionais de dados para países sem adequação
19. Sistemas de pontuação de crédito (scoring)
20. Monitorização de trabalhadores em tempo real
21. Processamento de dados de saúde mental
22. Análise de dados para previsão de risco criminal

Teste Rápido: Preciso de AIPD?

Responda a estas perguntas para determinar se o seu tratamento de dados exige AIPD obrigatória.

O meu tratamento envolve profiling sistemático ou decisões automatizadas? +

Se responde SIM a esta questão, o tratamento é muito provavelmente sujeito a AIPD obrigatória. Qualquer análise sistemática que resulte em definição de perfis, scoring ou decisões automáticas com efeito jurídico ou impacto significativo dispara a obrigatoriedade de AIPD.

Processamos dados sensíveis em grande escala? +

O processamento em grande escala de dados genéticos, de saúde, biométricos ou relativos a condenações penais exige AIPD obrigatória, conforme o Artigo 35.º n.º 3 alínea b) do RGPD.

Realizamos videovigilância ou reconhecimento facial? +

A videovigilância sistemática em espaços públicos e qualquer forma de reconhecimento facial exigem AIPD obrigatória sob a alínea c) do Artigo 35.º n.º 3.

O tratamento afeta crianças ou grupos vulneráveis? +

Qualquer tratamento que envolva menores, especialmente para análise comportamental, marketing ou análise de padrões, exige AIPD obrigatória.

Combinamos dados de múltiplas fontes de forma inovadora? +

O cruzamento de dados de diferentes fontes em formas novas ou não antecipadas, especialmente com recurso a novas tecnologias, pode disparar a obrigatoriedade de AIPD.

Exceções (Artigo 35.º n.º 5 e 10)

Existem situações em que, apesar de critérios de risco elevado, a AIPD pode não ser obrigatória ou ser simplificada.

Processamento Autorizado por Lei

Se a legislação nacional autoriza e regulamenta específico tratamento (com avaliação própria de risco), a AIPD completa pode ser dispensada, mas deve haver documentação de risco.

Conformidade com Códigos de Conduta

O cumprimento de código de conduta ou certificação aprovados pela Autoridade de Controlo pode isentar ou simplificar a AIPD.

Dados Já Analisados

Se uma avaliação prévio de risco (AIPD anterior) conclui que o tratamento não apresenta risco elevado, não há necessidade de repetição automática.

Consequências da Não-Conformidade

A falta de realização de AIPD quando obrigatória resulta em sanções administrativas significativas.

10M EUR

Coima Máxima (Categoria Baixa)

20M EUR

Coima Máxima (Categoria Alta)

4%

Ou 4% do Volume Global

A CNPD tem competência para impor coimas por violação do Artigo 35.º (realização obrigatória de AIPD) e do Artigo 36.º (consulta prévia).

Como Avançar

Determinou que a AIPD é obrigatória? Saiba como proceder.

🔮

Como Realizar uma AIPD

Aprenda a metodologia estruturada e os 7 passos essenciais para uma AIPD completa e documentada.

Ver metodologia →

📸

Tipos de AIPD Frequentes

Explore exemplos específicos: videovigilância, biometria, IA, saúde, geolocalização e outros.

Ver tipos →

📋

Serviços Profissionais

A Audiqcer oferece realização completa, revisão e formação em AIPD para a sua organização.

Ver serviços →

Necessita de Orientação?

Contacte-nos para uma avaliação inicial personalizada da sua situação.

Solicitar Diagnóstico

Descreva brevemente o seu contexto de tratamento de dados para receberíamos recomendações personalizadas.