• Cristina Paula Baptista

Avaliação de impacto sobre a proteção de dados - 9 critérios

Atualizado: 7 de Fev de 2019

A avaliação de impacto sobre a proteção de dados (#AIPD) é um processo que visa estabelecer e demonstrar a conformidade com o #RGPD. O RGPD adopta uma abordagem baseada no risco, ou seja, os riscos que um tratamento de dados pessoais implica têm de ser identificados, analisados, estimados, avaliados, tratados (atenuados) e revistos regularmente. Nem sempre é necessário realizar uma AIPD, mas sempre que se verifique um elevado risco para os direitos e liberdades das pessoas singulares o responsável pelo tratamento procede, antes de dar início ao tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.

Ao longo de várias disposições, desde logo no artigo 35.º, mas, também, nos considerandos, o RGPD estabelece 9 critérios que nos permitem identificar se um tratamento de dados pessoais é susceptível de gerar um risco elevado e, por isso, é obrigatória a realização de uma #AIPD. São eles:

1. Avaliação ou classificação, incluindo definição de perfis

Neste critério incluem-se aqueles casos em que se procede a uma avaliação ou classificação, incluindo a definição de perfis, podendo fazer-se uma previsão de comportamento a partir da recolha e tratamento de dados, em especial de dados relativos a «aspetos relacionados com o desempenho profissional, a situação económica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações do titular dos dados».

2. Decisões automatizadas que produzam efeitos jurídicos

Neste critério incluem-se não apenas as decisões automatizadas que produzam diretamente efeitos jurídicos na esfera do titular dos dados, mas, também, todos os tratamentos de dados que o possam afetar significativamente de modo similar, ou seja, todos os tratamento destinado à tomada de decisões sobre os titulares dos dados e que produzam «efeitos jurídicos relativamente à pessoa singular». Por exemplo, um tratamento que possa implicar a exclusão ou a discriminação de indivíduos.

3. Controlo sistemático

No controlo sistemático o tratamento é utilizado para observar, monitorizar ou controlar os titulares dos dados, incluindo dados recolhidos através de redes, ou um «controlo sistemático de zonas acessíveis ao público». Encontram-se neste caso, por exemplo, os sistemas de videovigilancia de espaços públicos ou de acesso de público.

4. Dados sensíveis ou dados de natureza altamente pessoal

Nestas categorias especiais de dados pessoais, incluem-se os dados como tal definidos no artigo 9.º ("dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou filiação sindical, bem como o tratamento dos dados biométricos, dados relativos à saúde ou à vida sexual ou à orientação sexual de uma pessoa") bem como dados pessoais relacionados com condenações penais e infrações, tal como definido no artigo 10.º.

5. Dados tratados em grande escala

O RGPD não define o que constitui grande escala, mas devem ser tidos em conta alguns fatores para se determinar se o tratamento é ou não efetuado em grande escala. São eles:

  • o número de titulares de dados envolvidos, quer através de um número específico quer através de uma percentagem da população pertinente;

  • o volume de dados e/ou a diversidade de dados diferentes a tratar;

  • a duração da atividade de tratamento de dados ou a sua pertinência;

  • a dimensão geográfica da atividade de tratamento.

6. Estabelecer correspondências ou combinar conjuntos de dados

Como exemplo deste critério temos aqueles casos em que o tratamento de dados se realiza a partir de dados pessoais com origem em duas ou mais operações de tratamento de dados, realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados.

7. Dados relativos a titulares de dados vulneráveis

Nos tratamento deste tipo de dados o critério assenta no facto de existir um acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, significando isto que os indivíduos podem não ser capazes de consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças e nesse caso o #RGPD requer medidas adicionais tanto na recolha de dados pessoais como nos tratamentos posteriores.

8. Utilização de soluções inovadoras

Este critério deve aplicar-se tanto quando as soluções inovadoras dizem respeito a novas soluções tecnológicas como quando respeitam a novas técnicas organizacionais, tais como proceder à combinação de dados pessoais em determinadas situações (exemplo: utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico, etc.). O #RGPD é muito claro quando diz que a utilização de uma nova tecnologia, definida em «conformidade com o nível de conhecimentos tecnológicos alcançado», pode desencadear a necessidade de realização de uma AIPD.

9. Sempre que um tratamento implicar que o titular dos dados fica impedido de exercer um direito ou de utilizar um serviço

Nesta categoria de tratamento de dados pessoais estão incluídas todas as operações de tratamento destinadas a autorizar, alterar ou recusar o acesso dos titulares dos dados a um serviço ou à celebração de um contrato. Um exemplo disto é o uso de base de dados de crédito bancário para a concessão de um empréstimo.


Nota: Este texto tem como fonte o documento "Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679" elaborado pelo Grupo de Trabalho do artigo 29.º Para a Proteção de Dados.


Se necessita de aconselhamento especializado sobre o RGPD e procedimentos de conformidade com o RGPD entre em contacto comigo.


#proteçãodedados #privacidade #encarregadoproteçãodedados #avaliaçãodeimpactodeproteçãodedados #CNPD

655 visualizações