A avaliação de impacto sobre a proteção de dados (AIPD) é o processo, previsto no artigo 35.º do RGPD, que documenta e mitiga os riscos de um tratamento antes de este começar. É obrigatória sempre que o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades dos titulares — nomeadamente quando envolve avaliação sistemática, tratamento em grande escala de dados sensíveis ou vigilância sistemática de zonas acessíveis ao público. Em Portugal, a CNPD publicou, no Regulamento n.º 1/2018, uma lista de tratamentos que exigem sempre AIPD. Este guia explica quando a AIPD é obrigatória, como conduzi-la em 7 passos e quando é necessária a consulta prévia à CNPD.
Principais conclusões
- A AIPD é obrigatória quando o tratamento implica elevado risco (art. 35.º, n.º 1 e n.º 3 RGPD).
- A CNPD fixou, no Regulamento n.º 1/2018, uma lista de tratamentos sujeitos a AIPD obrigatória.
- A metodologia assenta nos critérios WP248 do Grupo do Artigo 29.º.
- Se o risco residual permanecer elevado, é obrigatória a consulta prévia à CNPD (art. 36.º).
- A AIPD é um documento vivo, revisto sempre que o tratamento muda.
O que é uma AIPD e quando é obrigatória
O artigo 35.º do RGPD obriga o responsável a realizar uma AIPD antes de iniciar um tratamento que, «tendo em conta a sua natureza, âmbito, contexto e finalidades», seja suscetível de implicar um elevado risco. O n.º 3 do artigo 35.º dá três exemplos em que a AIPD é sempre exigida:
- Avaliação sistemática e completa de aspetos pessoais baseada em tratamento automatizado, incluindo profiling, que produza efeitos jurídicos;
- Tratamento em grande escala de categorias especiais de dados (art. 9.º) ou de dados relativos a condenações penais;
- Controlo sistemático de zonas acessíveis ao público em grande escala (videovigilância).
O Grupo do Artigo 29.º, nas orientações WP248, definiu nove critérios de risco. Se um tratamento preenche dois ou mais, deve presumir-se que a AIPD é necessária.
A lista da CNPD: Regulamento n.º 1/2018
Portugal foi além dos exemplos do RGPD. No Regulamento n.º 1/2018, a CNPD publicou a lista de tratamentos sujeitos a AIPD obrigatória a que se refere o artigo 35.º, n.º 4. A lista inclui, entre outros, tratamentos que combinam dados de várias fontes, tratamentos de dados de saúde ou genéticos ligados a outros dados, tratamentos que envolvem tecnologias inovadoras e tratamentos de dados de pessoas vulneráveis em grande escala.
Na prática, isto significa que muitas organizações portuguesas — clínicas, seguradoras, empresas que fazem scoring, entidades com videovigilância extensa — têm de fazer AIPD por força da lista nacional, mesmo quando teriam dúvidas à luz apenas do artigo 35.º. O ponto de partida para saber se um tratamento consta da lista é o seu registo de atividades de tratamento.
Metodologia em 7 passos
Uma AIPD sólida segue uma sequência estruturada. Esta é a metodologia que aplico com organizações portuguesas:
- Descrição do tratamento — finalidades, natureza, âmbito, contexto e fluxos de dados. Reutilize a ficha do registo do artigo 30.º.
- Fundamento de licitude e necessidade — identifique a base do artigo 6.º (e do artigo 9.º, se houver dados sensíveis) e justifique a necessidade e proporcionalidade.
- Consulta aos interessados — recolha, quando adequado, a opinião do encarregado de proteção de dados e dos titulares ou seus representantes.
- Identificação dos riscos — avalie ameaças à confidencialidade, integridade e disponibilidade, e o impacto sobre os direitos dos titulares.
- Avaliação da gravidade e probabilidade — classifique cada risco numa matriz (baixo, médio, elevado).
- Medidas de mitigação — cifragem, pseudonimização, minimização, controlo de acessos, contratos de subcontratação.
- Decisão e revisão — documente o risco residual e defina a periodicidade de revisão.
Para acelerar, disponibilizamos um modelo de AIPD preenchível alinhado com estes passos e com a lista da CNPD.
Matriz de risco: exemplo
| Risco | Probabilidade | Gravidade | Nível | Medida |
|---|---|---|---|---|
| Acesso indevido a dados de saúde | Média | Elevada | Elevado | Perfis de acesso + registo de acessos |
| Fuga de dados por subcontratante | Baixa | Elevada | Médio | Contrato art. 28.º + auditoria |
| Retenção excessiva | Alta | Média | Médio | Política de prazos de conservação |
| Profiling sem transparência | Média | Média | Médio | Informação clara + oposição |
Consulta prévia à CNPD (art. 36.º)
Se, após aplicar as medidas de mitigação, o risco residual permanecer elevado, o responsável não pode iniciar o tratamento sem antes consultar a CNPD, nos termos do artigo 36.º do RGPD. A CNPD dispõe de até oito semanas (prorrogáveis por mais seis) para se pronunciar. A consulta prévia é rara na prática — ocorre precisamente porque as medidas de mitigação não conseguiram reduzir o risco a um nível aceitável — mas é obrigatória quando esse é o caso.
Não confundir a consulta prévia com a notificação de violações: são procedimentos distintos. A primeira é preventiva, antes do tratamento; a segunda é reativa, após um incidente — como explicamos no guia sobre notificação de violação de dados à CNPD. A consulta prévia deve incluir a AIPD completa, a descrição das responsabilidades e as medidas ponderadas, para que a CNPD possa pronunciar-se com conhecimento pleno do tratamento.
AIPD e proteção de dados desde a conceção
A AIPD não é um exercício isolado. Articula-se com o princípio de proteção de dados desde a conceção (art. 25.º): as medidas de mitigação identificadas na AIPD devem ser incorporadas na engenharia do sistema, não acrescentadas depois. Manter estas avaliações manualmente, dispersas por documentos, é frágil; plataformas como a Legiscope ligam a AIPD ao registo de tratamentos e ao inventário de subcontratantes, mantendo tudo coerente quando o tratamento evolui. O papel do encarregado de proteção de dados na AIPD está previsto no artigo 35.º, n.º 2.
Perguntas frequentes
Quando é obrigatória uma AIPD em Portugal?
Sempre que o tratamento implique elevado risco (art. 35.º, n.º 1 e n.º 3 RGPD) ou conste da lista publicada pela CNPD no Regulamento n.º 1/2018. Na dúvida com dois ou mais critérios WP248 preenchidos, deve fazer-se a AIPD.
Quem deve realizar a AIPD?
O responsável pelo tratamento, com o aconselhamento do encarregado de proteção de dados, quando exista (art. 35.º, n.º 2). A responsabilidade última é do responsável, mesmo que a execução técnica seja delegada.
O que acontece se não fizer uma AIPD obrigatória?
A ausência de AIPD quando ela é exigida é uma violação do artigo 35.º e pode dar origem a coima até 10 M€ ou 2% do volume de negócios (art. 83.º, n.º 4). É também um agravante numa fiscalização mais ampla da CNPD.
É preciso enviar a AIPD à CNPD?
Não, em regra. A AIPD é conservada internamente e disponibilizada em caso de fiscalização. Só há envio à CNPD quando o risco residual permanece elevado e é necessária consulta prévia (art. 36.º).
Conclusão
A AIPD é a ferramenta preventiva central do RGPD: documenta os riscos de um tratamento e força a sua mitigação antes do arranque. Em Portugal, a lista do Regulamento n.º 1/2018 da CNPD torna-a obrigatória para muitos tratamentos comuns. Siga uma metodologia estruturada em sete passos, ligue-a ao registo de tratamentos e ao princípio da conceção, e reserve a consulta prévia para os casos em que o risco residual permanece elevado. Bem feita, a AIPD não é burocracia — é o que separa um tratamento defensável de uma coima anunciada.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial