A Avaliação de Impacto sobre a Proteção de dados (AIPD)  é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir riscos para os direitos e liberdades das pessoas decorrentes do tratamento de dados pessoais, avaliando-os e determinando as medidas necessárias para fazer face a esses riscos. Clique aqui para saber mais.

A AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir riscos para os direitos e liberdades das pessoas decorrentes do tratamento de dados pessoais, avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.
A AIPD deve ser encarada como um instrumento de apoio à tomada de decisão em relação ao tratamento de dados pessoais.
Uma AIPD é um processo contínuo que visa estabelecer e demonstrar a conformidade do tratamento de dados com o Regulamento Geral de Proteção de Dados.
É obrigatório realizar uma AIPD quando o tratamento de dados é suscetível de implicar um elevado risco nas atividades de processamento de dados pessoais. Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.

É necessário realizar uma AIPD sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas, nomeadamente quando (art.º 35/3 do RGPD):

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

Para este efeito, devem ser considerados nove critérios (Orientações WP 248, do GT do Artigo 29.º):
1. Avaliação ou classificação. Inclui definição de perfis e previsão de aspetos relacionados com:

– O desempenho profissional;

  • A situação económica e dados financeiros;
  • A saúde;
  • Preferências ou interesses pessoais;
  • Fiabilidade ou comportamento pessoais;
  • Localização ou deslocações do titular dos dados pessoais. 2. Decisões automatizadas que produzam efeitos jurídicos relativamente à pessoa singular ou a afetem de forma similar:
     Abrange o tratamento de dados pessoais destinado à tomada de decisões sobre o respetivo titular e que produza efeitos jurídicos ou similares.
    3. Controlo Sistemático.
     Inclui o tratamento de dados utilizado para observar, monitorizar ou controlar os titulares de dados, abrange os dados recolhidos através de redes, ou um controlo sistemático de zonas acessíveis ao público.
    4. Dados sensíveis ou dados de natureza altamente pessoal.
     Inclui categorias especiais de dados pessoais.
    5. Dados tratados em grande escala.
    
    Atende aos seguintes fatores:
  • O número de titulares de dados envolvidos, quer através de um número específico quer através de uma percentagem pertinente;
  • O volume de dados e/ou a diversidade de dados a tratar;
  • A duração da atividade de tratamento de dados ou a sua pertinência;
  • A dimensão geográfica da atividade de tratamento. 6. Estabelecer correspondências ou combinar conjunto de dados, por exemplo:
     - Com origem em duas ou mais operações de tratamento de dados realizados com diferentes finalidades;- Por diferentes responsáveis pelo tratamento de dados que excedam as expectativas razoáveis do titular dos dados.
    7. Dados relativos a titulares de dados vulneráveis:
     Neste caso existe um acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, ocorre, quando o titular do dados não tem capacidade para consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças.
    8. Utilização de soluções inovadoras ou aplicação de soluções tecnológicas ou organizacionais, como a recolha de impressão digital, reconhecimento facial. Justifica-se sempre que a utilização de nova tecnologias envolva novas formas de recolha e utilização de dados, possivelmente com elevado risco para os direitos e as liberdades das pessoas.
    9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou contrato.
    
    A preparação de uma AIPD inclui 3 fases, pelo menos (art.º 35/7 do RGPD):
    
    1.ª fase – Contexto

“a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;”


2.ª fase – Avaliação (risk assessment)

“b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o” art.º 35/1″; e


3.ª fase – Decisão (risk management).

“d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.”


Os elementos de uma AIPD são:
 1. Âmbito do AIPD;

 2. Objetivos da avaliação de impacto;
 
 3. Equipa e contactos dos responsáveis;

4. Operações de Tratamento de dados pessoais:

  • Contexto e finalidades do tratamento de dados pessoais;
  • Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
  • Acessos aos dados pessoais;
  • Descrição das operações de tratamento de dados pessoais.
  1. Avaliação das necessidades nas operações de processamento: - Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
  • Medidas que contribuem para os direitos dos titulares dos dados.
  1. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados: - Relacionados com a violação de confidencialidade ou integridade;
  • Relacionados com a perda de dados pessoais;
  • Relacionados com o exercício dos direitos dos titulares de dados;
  • Possíveis impactos e ameaças;
  • Medida para redução dos riscos com descrições técnicas.

    7. Prever medidas de segurança e procedimentos para assegurar a proteção de dados: Descrição de medidas técnicas para assegurar a proteção.

    8. Recomendações de melhoria;

    Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais e, por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.

    Referências e outra documentação útil

    – Orientações WP 248 / GT Artigo 29.º, de 4 de outubro de 2017.
  • Regulamento n.º 798/2018, 14 novembro, que aprova o Reg. n.º 1/2018, CNPD.
  • Grelha sobre critérios para uma AIPD aceitável.