Referência legislativa completa para a realização de Avaliações de Impacto sobre a Protecção de Dados em Portugal e na UE.
Entra em vigor o Regulamento Geral sobre a Protecção de Dados, trazendo o regime obrigatório de AIPD (Art. 35.º).
Lei de execução do RGPD em Portugal, regulando a execução do regime em contexto nacional.
Definição das 22 categorias de tratamento que exigem AIPD obrigatória em Portugal.
Guidelines de impact assessment metodologicamente robustas, adotadas por todas as autoridades europeias.
Artigo 27.º(4) articulação com DPIA — novos requisitos para sistemas de IA de risco elevado.
Integração completa de DPIA, FRIA e AICS em programas de compliance estruturados.
Define a obrigação geral de realizar AIPD "quando é provável que um tipo de tratamento, em particular se fizer uso de novas tecnologias, resulte num elevado risco para os direitos e liberdades das pessoas singulares".
Disposições principais:
Obrigação de consultar a autoridade competente (em Portugal, a CNPD) "antes de começar o tratamento" quando uma AIPD indicar elevado risco que não pode ser mitigado de forma satisfatória.
Requisitos: comunicação formal da AIPD à CNPD, com documentação completa. A CNPD tem até 8 semanas para responder.
O DPO tem o dever de "cooperar com a autoridade de controlo" e "servir de ponto de contacto". Deve assegurar a realização de AIPD quando obrigatória e acompanhar o seu rigor metodológico.
Lei que executa em Portugal o RGPD, reforçando disposições em contexto nacional:
A CNPD portuguesa definiu as seguintes 22 categorias de tratamento que exigem AIPD obrigatória:
Monitorização sistemática de indivíduos, p.ex. CCTV, rastreamento de localização.
Tratamento de dados relativos a características genéticas ou biométricas (Art. 9.º RGPD).
Registos eletrónicos de saúde, telemedicina, big data médico.
Avaliação automática de características pessoais, comportamentais ou económicas.
Decisões puramente automatizadas que produzem efeitos legais (Art. 22.º RGPD).
Processamento sistemático de dados de menores (p.ex. redes sociais, e-learning).
Tratamento de dados especiais relativos a pessoas com capacidade reduzida.
Recurso a novas tecnologias (IA, blockchain, IoT) sem histórico de impacto.
Combinação de dados de vários ficheiros, aumentando o risco de identificação.
Sistemas que podem excluir indivíduos de serviços ou direitos baseado em profiling.
Transferências para países terceiros sem adequação de proteção.
Rastreamento contínuo de movimento de indivíduos (GPS, triangulação móvel).
Ver P05 — Tipos de AIPD para análise detalhada de cada categoria.
As diretrizes do Conselho Europeu de Proteção de Dados (EDPB) definem a metodologia consensual para todas as AIPD na UE:
| Elemento | Descrição |
|---|---|
| Descrição sistemática | Documentação clara do tratamento: atores, dados, fim, duração, destinatários. |
| Necessidade e proporcionalidade | Justificação de por que o tratamento é necessário e proporcional ao fim. |
| Avaliação de risco | Identificação sistemática de riscos usando matriz de probabilidade × gravidade. |
| Medidas de mitigação | Técnicas (encriptação, pseudonimização) e organizacionais (formação, auditorias). |
| Respeito de direitos de terceiros | Diálogo com sindicatos, órgãos de supervisão, órgãos de proteção de dados. |
| Aprovação final | Assinatura do responsável e DPO. Eventual consulta à CNPD. |
Articulação FRIA e DPIA: O Regulamento (UE) 2024/1689 determina que sistemas de IA de risco elevado devem estar sujeitos a FRIA (Fundamental Rights Impact Assessment). Esta deve ser articulada com a DPIA ao abrigo do RGPD.
Implicação para AIPD: Quando uma organização implementa sistemas de IA para processamento de dados pessoais, a AIPD deve incluir componentes de análise de riscos para direitos fundamentais, incluindo viés, discriminação e opacidade algorítmica.
Ver aidf.pt — FRIA para orientações complementares.
| Norma | Âmbito |
|---|---|
| ISO 29134:2017 | Information technology — Security techniques — Guidelines for privacy impact assessment. Proporciona framework complementar de PIA internacionalmente reconhecido. |
| ISO 27701:2019 | Information security, cybersecurity and privacy protection — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Orientações para integração de privacidade em sistemas de gestão de segurança. |
Autoridades de controlo europeias têm aplicado coimas severas para violações de AIPD:
Coimas por falta de AIPD em processamentos de risco elevado (videovigilância, profiling) até 250.000 EUR.
Google (2020): 90M EUR por falta de consentimento válido em cookies. Violação incluía ausência de AIPD robusta.
British Airways (2020): 22.5M GBP por falhas em segurança de dados. AIPD inadequada foi fator contribuinte.
A informação apresentada neste página tem carácter informativo e educativo. Não constitui aconselhamento jurídico específico. A realização de uma AIPD, em conformidade com o RGPD, Lei 58/2019 e orientações regulatórias, deve ser acompanhada por profissionais qualificados em proteção de dados e, se aplicável, consultores jurídicos especializados.