Um modelo de AIPD conforme com o artigo 35.º RGPD estrutura-se em quatro blocos obrigatórios: descrição sistemática do tratamento, avaliação da necessidade e proporcionalidade, identificação dos riscos para os direitos e liberdades dos titulares, e medidas de mitigação. Estes quatro blocos correspondem ao conteúdo mínimo do artigo 35.º, n.º 7, e são a base de qualquer template válido. Abaixo encontra um modelo completo, preenchível, com uma tabela de risco e um exemplo aplicado a videovigilância — o tratamento que mais AIPD gera em Portugal.
Antes de usar o template, confirme se a AIPD é sequer obrigatória: a lista de tratamentos sujeitos a avaliação de impacto foi publicada pela CNPD no Regulamento n.º 1/2018.
Pontos essenciais
- O conteúdo mínimo da AIPD está fixado no artigo 35.º, n.º 7 RGPD — quatro blocos.
- A lista portuguesa de tratamentos obrigatórios consta do Regulamento n.º 1/2018 da CNPD.
- Os critérios de risco seguem o WP248 do Grupo do Artigo 29.º (nove critérios; dois ou mais indiciam risco elevado).
- A consulta prévia à CNPD (artigo 36.º) é obrigatória se o risco residual continuar elevado.
Quando a AIPD é obrigatória
A AIPD é exigida sempre que um tratamento seja suscetível de implicar um risco elevado para os direitos e liberdades das pessoas (artigo 35.º, n.º 1 do RGPD). Para saber quando isso acontece, cruzam-se três fontes: os casos expressos do artigo 35.º, n.º 3 (decisões automatizadas com efeitos significativos, tratamento em larga escala de dados sensíveis, videovigilância sistemática de zonas públicas), os nove critérios do WP248, e a lista portuguesa do Regulamento n.º 1/2018 da CNPD, que enumera tratamentos concretos sujeitos a AIPD no país. Quando um tratamento reúne dois ou mais dos nove critérios do WP248 — avaliação ou pontuação, decisões automatizadas, monitorização sistemática, dados sensíveis, larga escala, cruzamento de conjuntos de dados, titulares vulneráveis, uso inovador de tecnologia, ou impedimento do exercício de direitos —, presume-se que há risco elevado e a AIPD passa a ser obrigatória.
Para a análise completa de quando é obrigatória e da metodologia, veja o guia sobre a avaliação de impacto de proteção de dados (AIPD). Este artigo foca-se no template.
O template de AIPD, bloco a bloco
Bloco 1 — Descrição sistemática do tratamento
| Campo | Preencher com |
|---|---|
| Finalidade | Objetivo concreto do tratamento |
| Categorias de dados | Que dados, incluindo se há dados sensíveis (art. 9.º) |
| Titulares | Quem são e quantos (larga escala?) |
| Base de licitude | Art. 6.º e, se aplicável, art. 9.º |
| Destinatários / subcontratantes | Quem acede, contrato art. 28.º |
| Prazos de conservação | Prazo por categoria |
| Transferências | Países terceiros e garantias |
Este bloco deve ser coerente com o registo de atividades de tratamento — se o registo estiver completo, metade da AIPD já está feita.
Bloco 2 — Necessidade e proporcionalidade
Aqui justifica-se que o tratamento é necessário (não há via menos intrusiva) e proporcional (o benefício compensa a interferência). Avaliam-se: a adequação da base de licitude, o respeito pela minimização (artigo 5.º, n.º 1, c)), a informação aos titulares e o exercício dos seus direitos. Quando a base é o interesse legítimo, anexa-se o teste de ponderação — veja o guia sobre o interesse legítimo.
Bloco 3 — Identificação e avaliação dos riscos
Cada risco é avaliado por probabilidade e gravidade. A tabela seguinte é o núcleo da AIPD:
| Risco identificado | Probabilidade | Gravidade | Nível |
|---|---|---|---|
| Acesso não autorizado a imagens | Média | Alta | Elevado |
| Conservação além do necessário | Alta | Média | Elevado |
| Captação de zonas não previstas | Média | Média | Moderado |
Os riscos típicos são: acesso ilegítimo, alteração indevida, perda, conservação excessiva, uso para finalidade incompatível e reidentificação de dados pseudonimizados. A avaliação deve considerar não só a probabilidade técnica de cada risco, mas também a gravidade do impacto para o titular — desde o simples incómodo até à discriminação, à perda de controlo sobre os próprios dados ou ao dano reputacional e financeiro. É a combinação destes dois eixos que produz o nível de risco e, com ele, a decisão sobre as medidas a adotar.
Bloco 4 — Medidas de mitigação e risco residual
Para cada risco, uma medida: encriptação, controlo de acessos, pseudonimização, prazos automáticos de eliminação, sinalização, formação. Reavalia-se o risco residual após as medidas. Se continuar elevado, é obrigatória a consulta prévia à CNPD (artigo 36.º).
Exemplo aplicado: videovigilância
A videovigilância é o caso escolar. Descrição: câmaras nas entradas e no parque, para segurança de pessoas e bens, base no interesse legítimo, imagens conservadas 30 dias, sem áudio. Necessidade: houve furtos documentados; alternativas menos intrusivas (iluminação, ronda) foram insuficientes. Riscos: captação da via pública, acesso indevido às gravações, conservação excessiva. Medidas: orientar câmaras para o perímetro privado, restringir acessos a duas pessoas com registo, eliminação automática ao fim de 30 dias, sinalética visível. Este é exatamente o tipo de tratamento que o artigo 35.º, n.º 3, alínea c) e o Regulamento n.º 1/2018 sujeitam a AIPD, e cujos limites laborais constam do artigo 28.º da Lei n.º 58/2019.
Erros a evitar no template
A AIPD não é um formulário para arquivar. Os erros mais comuns: preencher só a descrição e saltar a avaliação de risco; não envolver o EPD, cuja opinião é obrigatória (artigo 35.º, n.º 2); não reavaliar o risco residual, ficando sem saber se é preciso consulta prévia; e não rever a AIPD quando o tratamento muda. Uma AIPD é um documento vivo, revisto sempre que o risco se altera.
Realizar e manter AIPD manualmente, com a lista do Regulamento n.º 1/2018 sempre presente, consome tempo do EPD. Plataformas de conformidade como a Legiscope orientam a AIPD passo a passo a partir do registo de tratamentos e sinalizam quando um tratamento novo exige avaliação, o que reduz o risco de omitir uma AIPD obrigatória. A ferramenta estrutura a análise, mas a ponderação de risco continua a ser um juízo do responsável e do seu encarregado de proteção de dados.
Perguntas frequentes
Qual é o conteúdo mínimo obrigatório de uma AIPD?
O artigo 35.º, n.º 7 RGPD exige quatro elementos: descrição sistemática do tratamento e das finalidades; avaliação da necessidade e proporcionalidade; avaliação dos riscos para os direitos e liberdades dos titulares; e as medidas previstas para enfrentar esses riscos, incluindo garantias e mecanismos de segurança.
Onde encontro a lista portuguesa de tratamentos sujeitos a AIPD?
No Regulamento n.º 1/2018 da CNPD, que fixou a lista de tratamentos sujeitos a avaliação de impacto em Portugal, nos termos do artigo 35.º, n.º 4 RGPD. A esta lista somam-se os casos do artigo 35.º, n.º 3 e os critérios do WP248.
Quando tenho de consultar previamente a CNPD?
Sempre que, depois de aplicar as medidas de mitigação, o risco residual continuar elevado (artigo 36.º RGPD). A consulta prévia é a válvula de segurança do sistema: a CNPD pode impor condições ou proibir o tratamento.
O encarregado de proteção de dados tem de participar na AIPD?
Sim. O artigo 35.º, n.º 2 impõe que o responsável solicite o parecer do EPD ao realizar uma AIPD. A ausência de envolvimento do encarregado é uma falha processual que compromete a validade da avaliação.
Conclusão
Um bom template de AIPD organiza os quatro blocos do artigo 35.º, n.º 7 e força a decisão que importa: reavaliar o risco depois das medidas e saber se é preciso consultar a CNPD. Comece por confirmar a obrigatoriedade com a lista do Regulamento n.º 1/2018, derive a descrição do seu registo de tratamentos e trate a AIPD como um documento vivo — revisto sempre que o tratamento, e o seu risco, mudarem.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial