Proteção de Dados

Avaliação de impacto de proteção de dados (AIPD): guia

Avaliação de impacto de proteção de dados (AIPD, art. 35.º RGPD): quando é obrigatória em Portugal, a lista da CNPD, metodologia em 7 passos e consulta prévia.

Also available in:English·Français·Deutsch·Español·Italiano

A avaliação de impacto sobre a proteção de dados (AIPD) é o processo, previsto no artigo 35.º do RGPD, que documenta e mitiga os riscos de um tratamento antes de este começar. É obrigatória sempre que o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades dos titulares — nomeadamente quando envolve avaliação sistemática, tratamento em grande escala de dados sensíveis ou vigilância sistemática de zonas acessíveis ao público. Em Portugal, a CNPD publicou, no Regulamento n.º 1/2018, uma lista de tratamentos que exigem sempre AIPD. Este guia explica quando a AIPD é obrigatória, como conduzi-la em 7 passos e quando é necessária a consulta prévia à CNPD.

Principais conclusões

  • A AIPD é obrigatória quando o tratamento implica elevado risco (art. 35.º, n.º 1 e n.º 3 RGPD).
  • A CNPD fixou, no Regulamento n.º 1/2018, uma lista de tratamentos sujeitos a AIPD obrigatória.
  • A metodologia assenta nos critérios WP248 do Grupo do Artigo 29.º.
  • Se o risco residual permanecer elevado, é obrigatória a consulta prévia à CNPD (art. 36.º).
  • A AIPD é um documento vivo, revisto sempre que o tratamento muda.

O que é uma AIPD e quando é obrigatória

O artigo 35.º do RGPD obriga o responsável a realizar uma AIPD antes de iniciar um tratamento que, «tendo em conta a sua natureza, âmbito, contexto e finalidades», seja suscetível de implicar um elevado risco. O n.º 3 do artigo 35.º dá três exemplos em que a AIPD é sempre exigida:

  • Avaliação sistemática e completa de aspetos pessoais baseada em tratamento automatizado, incluindo profiling, que produza efeitos jurídicos;
  • Tratamento em grande escala de categorias especiais de dados (art. 9.º) ou de dados relativos a condenações penais;
  • Controlo sistemático de zonas acessíveis ao público em grande escala (videovigilância).

O Grupo do Artigo 29.º, nas orientações WP248, definiu nove critérios de risco. Se um tratamento preenche dois ou mais, deve presumir-se que a AIPD é necessária.

A lista da CNPD: Regulamento n.º 1/2018

Portugal foi além dos exemplos do RGPD. No Regulamento n.º 1/2018, a CNPD publicou a lista de tratamentos sujeitos a AIPD obrigatória a que se refere o artigo 35.º, n.º 4. A lista inclui, entre outros, tratamentos que combinam dados de várias fontes, tratamentos de dados de saúde ou genéticos ligados a outros dados, tratamentos que envolvem tecnologias inovadoras e tratamentos de dados de pessoas vulneráveis em grande escala.

Na prática, isto significa que muitas organizações portuguesas — clínicas, seguradoras, empresas que fazem scoring, entidades com videovigilância extensa — têm de fazer AIPD por força da lista nacional, mesmo quando teriam dúvidas à luz apenas do artigo 35.º. O ponto de partida para saber se um tratamento consta da lista é o seu registo de atividades de tratamento.

Metodologia em 7 passos

Uma AIPD sólida segue uma sequência estruturada. Esta é a metodologia que aplico com organizações portuguesas:

  1. Descrição do tratamento — finalidades, natureza, âmbito, contexto e fluxos de dados. Reutilize a ficha do registo do artigo 30.º.
  2. Fundamento de licitude e necessidade — identifique a base do artigo 6.º (e do artigo 9.º, se houver dados sensíveis) e justifique a necessidade e proporcionalidade.
  3. Consulta aos interessados — recolha, quando adequado, a opinião do encarregado de proteção de dados e dos titulares ou seus representantes.
  4. Identificação dos riscos — avalie ameaças à confidencialidade, integridade e disponibilidade, e o impacto sobre os direitos dos titulares.
  5. Avaliação da gravidade e probabilidade — classifique cada risco numa matriz (baixo, médio, elevado).
  6. Medidas de mitigação — cifragem, pseudonimização, minimização, controlo de acessos, contratos de subcontratação.
  7. Decisão e revisão — documente o risco residual e defina a periodicidade de revisão.

Para acelerar, disponibilizamos um modelo de AIPD preenchível alinhado com estes passos e com a lista da CNPD.

Matriz de risco: exemplo

Risco Probabilidade Gravidade Nível Medida
Acesso indevido a dados de saúde Média Elevada Elevado Perfis de acesso + registo de acessos
Fuga de dados por subcontratante Baixa Elevada Médio Contrato art. 28.º + auditoria
Retenção excessiva Alta Média Médio Política de prazos de conservação
Profiling sem transparência Média Média Médio Informação clara + oposição

Consulta prévia à CNPD (art. 36.º)

Se, após aplicar as medidas de mitigação, o risco residual permanecer elevado, o responsável não pode iniciar o tratamento sem antes consultar a CNPD, nos termos do artigo 36.º do RGPD. A CNPD dispõe de até oito semanas (prorrogáveis por mais seis) para se pronunciar. A consulta prévia é rara na prática — ocorre precisamente porque as medidas de mitigação não conseguiram reduzir o risco a um nível aceitável — mas é obrigatória quando esse é o caso.

Não confundir a consulta prévia com a notificação de violações: são procedimentos distintos. A primeira é preventiva, antes do tratamento; a segunda é reativa, após um incidente — como explicamos no guia sobre notificação de violação de dados à CNPD. A consulta prévia deve incluir a AIPD completa, a descrição das responsabilidades e as medidas ponderadas, para que a CNPD possa pronunciar-se com conhecimento pleno do tratamento.

AIPD e proteção de dados desde a conceção

A AIPD não é um exercício isolado. Articula-se com o princípio de proteção de dados desde a conceção (art. 25.º): as medidas de mitigação identificadas na AIPD devem ser incorporadas na engenharia do sistema, não acrescentadas depois. Manter estas avaliações manualmente, dispersas por documentos, é frágil; plataformas como a Legiscope ligam a AIPD ao registo de tratamentos e ao inventário de subcontratantes, mantendo tudo coerente quando o tratamento evolui. O papel do encarregado de proteção de dados na AIPD está previsto no artigo 35.º, n.º 2.

Perguntas frequentes

Quando é obrigatória uma AIPD em Portugal?

Sempre que o tratamento implique elevado risco (art. 35.º, n.º 1 e n.º 3 RGPD) ou conste da lista publicada pela CNPD no Regulamento n.º 1/2018. Na dúvida com dois ou mais critérios WP248 preenchidos, deve fazer-se a AIPD.

Quem deve realizar a AIPD?

O responsável pelo tratamento, com o aconselhamento do encarregado de proteção de dados, quando exista (art. 35.º, n.º 2). A responsabilidade última é do responsável, mesmo que a execução técnica seja delegada.

O que acontece se não fizer uma AIPD obrigatória?

A ausência de AIPD quando ela é exigida é uma violação do artigo 35.º e pode dar origem a coima até 10 M€ ou 2% do volume de negócios (art. 83.º, n.º 4). É também um agravante numa fiscalização mais ampla da CNPD.

É preciso enviar a AIPD à CNPD?

Não, em regra. A AIPD é conservada internamente e disponibilizada em caso de fiscalização. Só há envio à CNPD quando o risco residual permanece elevado e é necessária consulta prévia (art. 36.º).

Conclusão

A AIPD é a ferramenta preventiva central do RGPD: documenta os riscos de um tratamento e força a sua mitigação antes do arranque. Em Portugal, a lista do Regulamento n.º 1/2018 da CNPD torna-a obrigatória para muitos tratamentos comuns. Siga uma metodologia estruturada em sete passos, ligue-a ao registo de tratamentos e ao princípio da conceção, e reserve a consulta prévia para os casos em que o risco residual permanece elevado. Bem feita, a AIPD não é burocracia — é o que separa um tratamento defensável de uma coima anunciada.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →