Proteção de Dados

Modelo de AIPD: template de avaliação de impacto

Template de AIPD passo a passo (art. 35.º RGPD): descrição, necessidade, riscos e medidas, alinhado com o Regulamento 1/2018 da CNPD e os critérios WP248.

Also available in:Français·Deutsch

Um modelo de AIPD conforme com o artigo 35.º RGPD estrutura-se em quatro blocos obrigatórios: descrição sistemática do tratamento, avaliação da necessidade e proporcionalidade, identificação dos riscos para os direitos e liberdades dos titulares, e medidas de mitigação. Estes quatro blocos correspondem ao conteúdo mínimo do artigo 35.º, n.º 7, e são a base de qualquer template válido. Abaixo encontra um modelo completo, preenchível, com uma tabela de risco e um exemplo aplicado a videovigilância — o tratamento que mais AIPD gera em Portugal.

Antes de usar o template, confirme se a AIPD é sequer obrigatória: a lista de tratamentos sujeitos a avaliação de impacto foi publicada pela CNPD no Regulamento n.º 1/2018.

Pontos essenciais

  • O conteúdo mínimo da AIPD está fixado no artigo 35.º, n.º 7 RGPD — quatro blocos.
  • A lista portuguesa de tratamentos obrigatórios consta do Regulamento n.º 1/2018 da CNPD.
  • Os critérios de risco seguem o WP248 do Grupo do Artigo 29.º (nove critérios; dois ou mais indiciam risco elevado).
  • A consulta prévia à CNPD (artigo 36.º) é obrigatória se o risco residual continuar elevado.

Quando a AIPD é obrigatória

A AIPD é exigida sempre que um tratamento seja suscetível de implicar um risco elevado para os direitos e liberdades das pessoas (artigo 35.º, n.º 1 do RGPD). Para saber quando isso acontece, cruzam-se três fontes: os casos expressos do artigo 35.º, n.º 3 (decisões automatizadas com efeitos significativos, tratamento em larga escala de dados sensíveis, videovigilância sistemática de zonas públicas), os nove critérios do WP248, e a lista portuguesa do Regulamento n.º 1/2018 da CNPD, que enumera tratamentos concretos sujeitos a AIPD no país. Quando um tratamento reúne dois ou mais dos nove critérios do WP248 — avaliação ou pontuação, decisões automatizadas, monitorização sistemática, dados sensíveis, larga escala, cruzamento de conjuntos de dados, titulares vulneráveis, uso inovador de tecnologia, ou impedimento do exercício de direitos —, presume-se que há risco elevado e a AIPD passa a ser obrigatória.

Para a análise completa de quando é obrigatória e da metodologia, veja o guia sobre a avaliação de impacto de proteção de dados (AIPD). Este artigo foca-se no template.

O template de AIPD, bloco a bloco

Bloco 1 — Descrição sistemática do tratamento

Campo Preencher com
Finalidade Objetivo concreto do tratamento
Categorias de dados Que dados, incluindo se há dados sensíveis (art. 9.º)
Titulares Quem são e quantos (larga escala?)
Base de licitude Art. 6.º e, se aplicável, art. 9.º
Destinatários / subcontratantes Quem acede, contrato art. 28.º
Prazos de conservação Prazo por categoria
Transferências Países terceiros e garantias

Este bloco deve ser coerente com o registo de atividades de tratamento — se o registo estiver completo, metade da AIPD já está feita.

Bloco 2 — Necessidade e proporcionalidade

Aqui justifica-se que o tratamento é necessário (não há via menos intrusiva) e proporcional (o benefício compensa a interferência). Avaliam-se: a adequação da base de licitude, o respeito pela minimização (artigo 5.º, n.º 1, c)), a informação aos titulares e o exercício dos seus direitos. Quando a base é o interesse legítimo, anexa-se o teste de ponderação — veja o guia sobre o interesse legítimo.

Bloco 3 — Identificação e avaliação dos riscos

Cada risco é avaliado por probabilidade e gravidade. A tabela seguinte é o núcleo da AIPD:

Risco identificado Probabilidade Gravidade Nível
Acesso não autorizado a imagens Média Alta Elevado
Conservação além do necessário Alta Média Elevado
Captação de zonas não previstas Média Média Moderado

Os riscos típicos são: acesso ilegítimo, alteração indevida, perda, conservação excessiva, uso para finalidade incompatível e reidentificação de dados pseudonimizados. A avaliação deve considerar não só a probabilidade técnica de cada risco, mas também a gravidade do impacto para o titular — desde o simples incómodo até à discriminação, à perda de controlo sobre os próprios dados ou ao dano reputacional e financeiro. É a combinação destes dois eixos que produz o nível de risco e, com ele, a decisão sobre as medidas a adotar.

Bloco 4 — Medidas de mitigação e risco residual

Para cada risco, uma medida: encriptação, controlo de acessos, pseudonimização, prazos automáticos de eliminação, sinalização, formação. Reavalia-se o risco residual após as medidas. Se continuar elevado, é obrigatória a consulta prévia à CNPD (artigo 36.º).

Exemplo aplicado: videovigilância

A videovigilância é o caso escolar. Descrição: câmaras nas entradas e no parque, para segurança de pessoas e bens, base no interesse legítimo, imagens conservadas 30 dias, sem áudio. Necessidade: houve furtos documentados; alternativas menos intrusivas (iluminação, ronda) foram insuficientes. Riscos: captação da via pública, acesso indevido às gravações, conservação excessiva. Medidas: orientar câmaras para o perímetro privado, restringir acessos a duas pessoas com registo, eliminação automática ao fim de 30 dias, sinalética visível. Este é exatamente o tipo de tratamento que o artigo 35.º, n.º 3, alínea c) e o Regulamento n.º 1/2018 sujeitam a AIPD, e cujos limites laborais constam do artigo 28.º da Lei n.º 58/2019.

Erros a evitar no template

A AIPD não é um formulário para arquivar. Os erros mais comuns: preencher só a descrição e saltar a avaliação de risco; não envolver o EPD, cuja opinião é obrigatória (artigo 35.º, n.º 2); não reavaliar o risco residual, ficando sem saber se é preciso consulta prévia; e não rever a AIPD quando o tratamento muda. Uma AIPD é um documento vivo, revisto sempre que o risco se altera.

Realizar e manter AIPD manualmente, com a lista do Regulamento n.º 1/2018 sempre presente, consome tempo do EPD. Plataformas de conformidade como a Legiscope orientam a AIPD passo a passo a partir do registo de tratamentos e sinalizam quando um tratamento novo exige avaliação, o que reduz o risco de omitir uma AIPD obrigatória. A ferramenta estrutura a análise, mas a ponderação de risco continua a ser um juízo do responsável e do seu encarregado de proteção de dados.

Perguntas frequentes

Qual é o conteúdo mínimo obrigatório de uma AIPD?

O artigo 35.º, n.º 7 RGPD exige quatro elementos: descrição sistemática do tratamento e das finalidades; avaliação da necessidade e proporcionalidade; avaliação dos riscos para os direitos e liberdades dos titulares; e as medidas previstas para enfrentar esses riscos, incluindo garantias e mecanismos de segurança.

Onde encontro a lista portuguesa de tratamentos sujeitos a AIPD?

No Regulamento n.º 1/2018 da CNPD, que fixou a lista de tratamentos sujeitos a avaliação de impacto em Portugal, nos termos do artigo 35.º, n.º 4 RGPD. A esta lista somam-se os casos do artigo 35.º, n.º 3 e os critérios do WP248.

Quando tenho de consultar previamente a CNPD?

Sempre que, depois de aplicar as medidas de mitigação, o risco residual continuar elevado (artigo 36.º RGPD). A consulta prévia é a válvula de segurança do sistema: a CNPD pode impor condições ou proibir o tratamento.

O encarregado de proteção de dados tem de participar na AIPD?

Sim. O artigo 35.º, n.º 2 impõe que o responsável solicite o parecer do EPD ao realizar uma AIPD. A ausência de envolvimento do encarregado é uma falha processual que compromete a validade da avaliação.

Conclusão

Um bom template de AIPD organiza os quatro blocos do artigo 35.º, n.º 7 e força a decisão que importa: reavaliar o risco depois das medidas e saber se é preciso consultar a CNPD. Comece por confirmar a obrigatoriedade com a lista do Regulamento n.º 1/2018, derive a descrição do seu registo de tratamentos e trate a AIPD como um documento vivo — revisto sempre que o tratamento, e o seu risco, mudarem.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →