AIPD

Avaliação de Impacto sobre a Proteção de Dados

A Avaliação de Impacto sobre a Proteção de dados (AIPD) é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir riscos para os direitos e liberdades das pessoas decorrentes do tratamento de dados pessoais, avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.

Saber +

A AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir riscos para os direitos e liberdades das pessoas decorrentes do tratamento de dados pessoais, avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.

A AIPD deve ser encarada como um instrumento de apoio à tomada de decisão em relação ao tratamento de dados pessoais, na medida em que se trata de um processo contínuo que visa estabelecer e demonstrar a conformidade do tratamento de dados com o Regulamento Geral de Proteção de Dados.

É obrigatório realizar uma AIPD sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas, nomeadamente quando existe(m)(art.º 35/3 do RGPD):

Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;
Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou
Controlo sistemático de zonas acessíveis ao público em grande escala.

Para este efeito, devem ser considerados nove critérios (Orientações WP 248, do GT do Artigo 29.º):

1. Avaliação ou classificação. Inclui definição de perfis e previsão de aspetos relacionados com:

O desempenho profissional;
A situação económica e dados financeiros;
A saúde;
Preferências ou interesses pessoais;
Fiabilidade ou comportamento pessoais;
Localização ou deslocações do titular dos dados pessoais.

2. Decisões automatizadas que produzam efeitos jurídicos relativamente à pessoa singular ou a afetem de forma similar - Abrange o tratamento de dados pessoais destinado à tomada de decisões sobre o respetivo titular e que produza efeitos jurídicos ou similares.

3. Controlo Sistemático - Inclui o tratamento de dados utilizado para observar, monitorizar ou controlar os titulares de dados, abrange os dados recolhidos através de redes, ou um controlo sistemático de zonas acessíveis ao público.

4. Dados sensíveis ou dados de natureza altamente pessoal - Inclui categorias especiais de dados pessoais.

5. Dados tratados em grande escala - Atende aos seguintes fatores:

O número de titulares de dados envolvidos, quer através de um número específico quer através de uma percentagem pertinente;
O volume de dados e/ou a diversidade de dados a tratar;
A duração da atividade de tratamento de dados ou a sua pertinência;
A dimensão geográfica da atividade de tratamento.

6. Estabelecer correspondências ou combinar conjunto de dados, por exemplo, com origem em duas ou mais operações de tratamento de dados realizados com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados que excedam as expectativas razoáveis do titular dos dados.

7. Dados relativos a titulares de dados vulneráveis - Existe um acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, quando o titular do dados não tem capacidade para consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças.

8. Utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, como a recolha de impressão digital e do reconhecimento facial. Justifica-se sempre que a utilização de novas tecnologias envolva novas formas de recolha e utilização de dados, possivelmente com elevado risco para os direitos e as liberdades das pessoas.

9. Quando o próprio tratamento impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou contrato.

A preparação de uma AIPD inclui, pelo menos, 3 fases (art.º 35/7 do RGPD):

1.ª fase – Contexto

“Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;”

2.ª fase – Avaliação (risk assessment)

"Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o” art.º 35/1"; e

3.ª fase – Decisão (risk management).

“As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.”

Os elementos de uma AIPD são:

1. Âmbito do AIPD;

2. Objetivos da avaliação de impacto;

3. Equipa e contactos dos responsáveis;

4. Operações de Tratamento de dados pessoais:

Contexto e finalidades do tratamento de dados pessoais;
Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
Acessos aos dados pessoais;
Descrição das operações de tratamento de dados pessoais.

5. Avaliação das necessidades nas operações de processamento:

Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
Medidas que contribuem para os direitos dos titulares dos dados.

6. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados:

Relacionados com a violação de confidencialidade ou integridade;
Relacionados com a perda de dados pessoais;
Relacionados com o exercício dos direitos dos titulares de dados;
Possíveis impactos e ameaças;
Medida para redução dos riscos com descrições técnicas.

7. Prever medidas de segurança e procedimentos para assegurar a proteção de dados:

Descrição de medidas técnicas para assegurar a proteção.

8. Recomendações de melhoria.

Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais e, por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.

Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.

Referências e outra documentação útil

- Orientações WP 248 / GT Artigo 29.º, de 4 de outubro de 2017.

- Regulamento n.º 798/2018, 14 novembro, que aprova o Reg. n.º 1/2018, CNPD.

- Grelha sobre critérios para uma AIPD aceitável.

Avaliação de impacto sobre a proteção de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.º 1 é obrigatória nomeadamente em caso de:

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;
b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou
c) Controlo sistemático de zonas acessíveis ao público em grande escala.

4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.º 1. A autoridade de controlo comunica essas listas ao Comité referido no art.º 68.º.

5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6. Antes de adotar as listas a que se referem os n.º^s 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no art.º 63.º sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7. A avaliação inclui, pelo menos:

a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.º 1; e

d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o art.º 40.º por parte desses responsáveis ou subcontratantes.

9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10. Se o tratamento efetuado por força do art.º 6.º, n.º 1, al. c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.º^s 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Tendo por base o Regulamento Geral da Proteção de Dados (artigo 35.º), as Orientações WP248 do Grupo de Trabalho do Artigo 29.º e o Regulamento n.º 1/2018 da Comissão Nacional de Proteção de Dados, conclui-se que deve ser realizada AVALIAÇÃO DE IMPACTO SOBRE PROTEÇÃO DE DADOS quando:

1. O tratamento utiliza soluções inovadoras ao nível tecnológico ou organizacional, sendo suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, uma vez que a utilização dessa tecnologia pode envolver novas formas de recolha e utilização de dados, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico, etc., especialmente quando engloba o tratamento de categorias especiais de dados pessoais ou relacionados com condenações penais e infrações, com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.	n.º 1 critério 8 tratamento 9
2. Existe uma avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, ou uma previsão de aspetos relacionados com o desempenho profissional, a situação económica, a saúde, as preferências ou interesses pessoais, a fiabilidade ou comportamento, a localização ou as deslocações do titular dos dados.	al. a) do n.º 3 critério 1 tratamento 5
3. Sucedem decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar, isto é, o tratamento que possa implicar a exclusão ou a discriminação de indivíduos.	al. a) do n.º 3 critério 2
4. Ocorrem operações de tratamento em grande escala de categorias especiais, dados pessoais relacionados com condenações penais e infrações, ou quaisquer outros dados pessoais, incluindo criação de perfis, devendo ter-se em conta os seguintes fatores: a. número de titulares de dados envolvidos (número ou percentagem da população); b. volume de dados e/ou a diversidade de dados diferentes a tratar; c. duração da atividade de tratamento de dados ou a sua pertinência; d. a dimensão geográfica da atividade de tratamento.	al. b) do n.º 3 critério 5 tratamento 4
5. Se verifica um controlo sistemático baseado num tratamento utilizado para observar, monitorizar ou controlar os titulares dos dados, incluindo dados recolhidos através de redes ou de zonas acessíveis ao público, em grande escala ou não, podendo ser impossível aos indivíduos evitarem estar sujeitos a este tipo de tratamento.	al. c) do n.º 3 critério 3
6. Se tratam dados sensíveis ou dados de natureza altamente pessoal (categorias especiais, dados pessoais relacionados com condenações penais e infrações e outras informações como mensagens de correio eletrónico, diários, notas em dispositivos eletrónicos e outros eventos de vida dos indivíduos registadas em aplicações), incluindo para arquivo de interesse público, investigação científica e histórica ou fins estatísticos, nomeadamente se o tratamento é realizado com base em recolha indireta dos dados e não seja possível ou exequível assegurar o direito de informação nos termos da alínea b) do n.º 5 do artigo 14.º do RGPD. E, também, de especial relevância se houver utilização de dispositivos eletrónicos que transmitam, por redes de comunicação, dados pessoais relativos à saúde, e se houver utilização de novas tecnologias ou nova utilização de tecnologias já existentes.	al. a) do n.º 3 critério 4 tratamentos 1, 3, 6 e 9
7. Ocorrem correspondências ou combinações de conjuntos de dados: por exemplo, com origem em duas ou mais operações de tratamento de dados realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados. Nomeadamente se houver interconexão de dados pessoais ou tratamento que relacione categorias especiais de dados, relacionados com condenações penais e infrações, ou dados de natureza altamente pessoal.	al. a) do n.º 3 critério 6 tratamento 2
8. Se tratam dados pessoais de titulares vulneráveis, especialmente dados genéticos e dados biométricos, devido ao desequilíbrio de poder entre estes e o responsável pelo tratamento dos dados, traduzido na incapacidade de consentir, ou opor-se, facilmente ao tratamento dos dados ou de exercer os próprios direitos. Os titulares de dados vulneráveis podem incluir crianças, empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.).	critério 7 tratamentos 7 e 8
9. Quando o tratamento impede os titulares dos dados «de exercer um direito ou de utilizar um serviço ou um contrato», incluindo operações de tratamento destinadas a autorizar, alterar ou recusar o acesso dos titulares dos dados a um serviço ou que estes celebrem um contrato.	critério 9

Nota: Quanto maior o número de pontos satisfeitos pelo tratamento em análise, maior é a probabilidade de este implicar um elevado risco para os direitos e as liberdades dos titulares dos dados e, por conseguinte, de necessitar de uma AIPD, independentemente das medidas que o responsável pelo tratamento pretender adotar.

Exemplos de tratamento	Critérios pertinentes possíveis	Exige AIPD?
Um hospital que faz o tratamento dos dados genéticos e de saúde dos seus doentes (sistema de informação do hospital).	- Dados sensíveis ou dados de natureza altamente pessoal. - Dados relativos a titulares vulneráveis. - Dados tratados em grande escala.	Sim
Utilização de um sistema de câmaras para controlar o comportamento dos condutores nas autoestradas. O responsável pelo tratamento pretende utilizar um sistema inteligente de análise através de vídeo para selecionar carros específicos e reconhecer automaticamente as matrículas.	- Controlo sistemático. - Utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais.	Sim
Uma empresa que controle sistematicamente as atividades dos seus empregados, incluindo o controlo dos computadores, da atividade internet, etc. dos seus empregados.	- Controlo sistemático. - Dados relativos a titulares vulneráveis.	Sim
Recolha de dados públicos das redes sociais para elaborar perfis.	- Avaliação ou classificação. - Dados tratados em grande escala. - Estabelecer correspondências ou combinar conjuntos de dados. - Dados sensíveis ou dados de natureza altamente pessoal.	Sim
Uma instituição que crie uma base de dados a nível nacional de notação de crédito ou de fraude.	- Dados sensíveis. - Dados relativos a titulares vulneráveis. - Impede os titulares dos dados de exercer um direito ou de utilizar um serviço ou um contrato.	Sim
Tratamento de «dados pessoais de pacientes ou clientes de um determinado médico, profissional de cuidados de saúde, hospital ou advogado» (considerando 91).	- Dados sensíveis ou dados de natureza altamente pessoal. - Dados relativos a titulares vulneráveis.	Não
Revista em linha que utilize uma lista de endereços de correio eletrónico para enviar fascículos diários genéricos da revista para os seus subscritores.	- Dados tratados em grande escala.	Não
Um sítio web de comércio em linha que mostre anúncios de peças de automóveis antigos envolvendo a utilização limitada de perfis com base nos itens visualizados ou comprados no seu próprio sítio web.	- Avaliação ou classificação.	Não

^{fonte: Orientação WP 248 / GT do Artigo 29.º.}