• Eduardo Natale

Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados, do WP29 (resumo)



I. Introdução

Uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.

As AIPD são instrumentos importantes em matéria de responsabilização, uma vez que ajudam os responsáveis pelo tratamento não apenas a cumprir os requisitos do RGPD, mas também a demonstrar que foram tomadas medidas adequadas para assegurar a conformidade com o regulamento. Por outras palavras, uma AIPD é um processo que visa estabelecer e demonstrar conformidade.


Não realizar uma AIPD quando o tratamento está sujeito a uma AIPD, realizá-la de forma incorreta ou não consultar a autoridade de controlo competente quando necessário pode resultar em multas.

II. Âmbito de aplicação das orientações

Em consonância com a abordagem baseada no risco incorporada no RGPD, não é obrigatório realizar uma AIPD para todas as operações de tratamento. Só existe obrigação de realizar uma AIPD quando o tratamento for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares1.


III. AIPD: uma explicação do regulamento

O RGPD exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD, tendo em conta, entre outros, "os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis"2. A obrigação que recai sobre os responsáveis pelo tratamento de realizarem uma AIPD em determinadas circunstâncias não deve ser entendida no contexto da sua obrigação geral de fazer uma gestão adequada dos riscos decorrentes do tratamento de dados pessoais.

Importa salientar que, por forma a gerir os riscos para os direitos e liberdades das pessoas singulares, os riscos têm de ser identificados, analisados, estimados, avaliados, tratados (p. ex. atenuados) e revistos regularmente. Os responsáveis pelo tratamento não podem fugir à sua responsabilidade, cobrindo os riscos com apólices de seguros.

O simples facto de as condições que conduzem à obrigação de realizar uma AIPD não terem sido satisfeitas não diminui a obrigação geral que os responsáveis pelo tratamento têm de aplicar medidas que visem gerir adequadamente os riscos para os direitos e as liberdades dos titulares dos dados. Na prática, tal significa que os responsáveis pelo tratamento devem avaliar continuamente os riscos criados pelas suas atividades de tratamento por forma a identificarem quando um certo tipo de tratamento é "suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares".


A. O que abrange uma AIPD?

Uma AIPD pode dizer respeito a uma única operação de tratamento de dados3.


Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos. Na verdade, as AIPD visam estudar sistematicamente novas situações que possam ser suscetíveis de implicar riscos elevados para os direitos e as liberdades das pessoas singulares, não havendo necessidade de realizar uma AIPD para os casos que já foram estudados.


Uma AIPD também pode ser útil para avaliar o impacto na proteção de dados de um produto tecnológico, por exemplo, um equipamento ou um programa informático, sempre que este seja suscetível de ser utilizado por diferentes responsáveis pelo tratamento de dados para realizar diferentes operações de tratamento.

B. Quais são as operações de tratamento que estão sujeitas a uma AIPD?

Salvo se a operação de tratamento constituir uma exceção (III.B.a), terá de ser realizada uma AIPD quando uma operação de tratamento for "suscetível de implicar um elevado risco" (III.B.b).


a) Quando é que uma AIPD é obrigatória?

Quando o tratamento for "suscetível de implicar um risco elevado". Nos casos em que não é claro se a realização de uma AIPD é necessária, o Grupo de Trabalho do Artigo 29.º recomenda que, ainda assim, seja realizada uma AIPD, uma vez que uma AIPD é um instrumento útil para ajudar os responsáveis pelo tratamento a cumprir a legislação relativa à proteção de dados.

Com vista a fornecer um conjunto mais concreto de operações de tratamento que exigem uma AIPD devido ao elevado risco inerente, devem ser considerados os seguintes nove critérios.

1. Avaliação ou classificação, incluindo definição de perfis e previsão, em especial de "aspetos relacionados com o desempenho profissional, a situação económica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações do titular dos dados"4. Exemplos:

  • uma instituição financeira que faça um controlo seletivo dos seus clientes a partir de uma base de dados de referências de crédito bancário ou a partir de uma base de dados de combate ao branqueamento de capitais e ao financiamento do terrorismo ou de combate à fraude;

  • uma empresa de biotecnologia que ofereça testes genéticos diretamente aos seus clientes por forma a avaliar e prever riscos de doença ou para a saúde; ou

  • uma empresa de desenvolva perfis comportamentais ou publicitários baseados na utilização ou navegação no seu sítio web.

2. Decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente de modo similar: tratamento destinado à tomada de decisões sobre os titulares dos dados e que produza "efeitos jurídicos relativamente à pessoa singular" ou que "a afetem significativamente de forma similar"5. Por exemplo, o tratamento pode implicar a exclusão ou a discriminação de indivíduos.

3. Controlo sistemático: tratamento utilizado para observar, monitorizar ou controlar os titulares dos dados, incluindo dados recolhidos através de redes, ou um "controlo sistemático de zonas acessíveis ao público"6 . Este tipo de controlo é um critério porque os dados pessoais podem ser recolhidos em circunstâncias em que os titulares dos dados podem não estar cientes de quem está a recolher os seus dados e da forma como esses dados serão utilizados. Adicionalmente, pode ser impossível para os indivíduos evitarem estar sujeitos a este tipo de tratamento em espaço(s) público(s) (ou zonas acessíveis ao público).

4. Dados sensíveis ou dados de natureza altamente pessoal: inclui categorias especiais de dados pessoais, tal como definido no artigo 9.º (por exemplo, informações acerca das opiniões políticas dos indivíduos), bem como dados pessoais relacionados com condenações penais e infrações, tal como definido no artigo 10.º. Um exemplo seria um hospital geral que mantenha registos médicos dos doentes ou um investigador privado que mantenha informações acerca dos autores das infrações.

5. Dados tratados em grande escala: O Grupo de Trabalho do Artigo 29.º recomenda que os seguintes fatores, em especial, sejam considerados quando se determina se o tratamento é ou não efetuado em grande escala:


a. o número de titulares de dados envolvidos, quer através de um número específico quer através de uma percentagem da população pertinente;

b. o volume de dados e/ou a diversidade de dados diferentes a tratar;

c. a duração da atividade de tratamento de dados ou a sua pertinência;

d. a dimensão geográfica da atividade de tratamento.

6. Estabelecer correspondências ou combinar conjuntos de dados: por exemplo, com origem em duas ou mais operações de tratamento de dados realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados.

7. Dados relativos a titulares de dados vulneráveis7: Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento.

8. Utilização de soluções inovadoras ou aplicação de novas soluções tecnológicas ou organizacionais, tais como combinar a utilização da impressão digital e do reconhecimento facial para melhorar o controlo do acesso físico, etc. O RGPD deixa claro8 que a utilização de uma nova tecnologia, definida em "conformidade com o nível de conhecimentos tecnológicos alcançado", pode desencadear a necessidade de realização de uma AIPD.

9. Quando o próprio tratamento impede os titulares dos dados "de exercer um direito ou de utilizar um serviço ou um contrato"9. Estão incluídas operações de tratamento destinadas a autorizar, alterar ou recusar o acesso dos titulares dos dados a um serviço ou que estes celebrem um contrato. Um exemplo disto é quando um banco faz um controlo seletivo dos seus clientes a partir de uma base de dados de referências de crédito bancário com vista a decidir se lhes concede ou não um empréstimo.

Na maioria dos casos, o responsável pelo tratamento de dados pode considerar que um tratamento que satisfaça dois critérios exige a realização de uma AIPD. Em geral, o Grupo de Trabalho do Artigo 29.º considera que quantos mais critérios forem satisfeitos pelo tratamento maior é a probabilidade de este implicar um elevado risco para os direitos e as liberdades dos titulares dos dados e, por conseguinte, de necessitar de uma AIPD, independentemente das medidas que o responsável pelo tratamento pretender adotar.

Contudo, em alguns casos, um responsável pelo tratamento de dados pode considerar que um tratamento que satisfaça apenas um dos critérios exige a realização de uma AIPD.

Em contrapartida, uma operação de tratamento pode corresponder aos critérios supramencionados e continuar a ser considerada pelo responsável pelo tratamento como uma operação que não é "suscetível de implicar um elevado risco". Nestes casos, o responsável pelo tratamento deve justificar e documentar as razões que o levam a não realizar uma AIPD e incluir/registar os pontos de vista do encarregado da proteção de dados.




b) Quando é que uma AIPD não é obrigatória?

Quando o tratamento não for "suscetível de implicar um elevado risco", quando já existir uma AIPD semelhante, quando tiver sido autorizado antes de maio de 2018, quando tiver um fundamento jurídico ou quando fizer parte de uma lista de operações de tratamento para as quais não seja necessária uma AIPD.


O Grupo de Trabalho do Artigo 29.º considera que uma AIPD não é obrigatória nos seguintes casos:

- quando o tratamento não for "suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares"10;

- quando a natureza, o âmbito, o contexto e as finalidades do tratamento forem muito semelhantes ao tratamento em relação ao qual tenha sido realizada uma AIPD;

- quando as operações de tratamento tiverem sido previamente controladas por uma autoridade de controlo antes de maio de 2018 em condições específicas que não se tenham alterado20 (ver III.C);

- quando uma operação de tratamento11, tiver um fundamento jurídico no direito da UE ou de um Estado-Membro, em que o direito regule a operação de tratamento específica e em que a AIPD já tenha sido realizada como parte da adoção desse fundamento jurídico12, salvo se o Estado-Membro considerar necessário proceder a essa avaliação antes das atividades de tratamento;

- quando o tratamento estiver incluído na lista opcional (definida pela autoridade de controlo) de operações de tratamento para as quais não é obrigatória uma AIPD13.


C. E relativamente às operações de tratamento já existentes?

As AIPD são obrigatórias nalgumas circunstâncias.


A obrigação de realizar uma AIPD é aplicável às operações de tratamento existentes suscetíveis de implicar um elevado risco para os direitos e as liberdades das pessoas singulares e em relação às quais não tenha havido alteração dos riscos, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.


D. COMO REALIZAR UMA AIPD?



a) Em que altura deve ser realizada uma AIPD?

A AIPD deve ser realizada "antes de iniciar o tratamento"14. Verifica-se a coerência com os princípios da proteção de dados desde a concepção e por defeito15. A AIPD deve ser encarada como um instrumento de apoio à tomada de decisão em relação ao tratamento.

A realização de uma AIPD é um processo contínuo e não um exercício que acontece uma única vez.


b) Quem está obrigado a realizar uma AIPD?

O responsável pelo tratamento é responsável por garantir a realização da AIPD16. A realização da AIPD pode ser efetuada por outrem, dentro ou fora da organização, mas o responsável pelo tratamento continua a ser o responsável último por essa tarefa.

O responsável pelo tratamento deve também solicitar o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado17, sendo que o seu parecer e as decisões tomadas pelo responsável pelo tratamento devem ser documentadas na AIPD.

Se o tratamento for total ou parcialmente efetuado por um subcontratante, o subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias18.

O responsável pelo tratamento "solicita a opinião dos titulares de dados ou dos seus representantes"19, "[s]e for adequado"


c) Qual é a metodologia para realizar uma AIPD?


Existem metodologias diferentes, mas os critérios são comuns.


O RGPD define os elementos mínimos de uma AIPD20:

- "[u]ma descrição das operações de tratamento previstas e a finalidade do tratamento";

- "[u]ma avaliação da necessidade e proporcionalidade das operações de tratamento";

- "[u]ma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos";

- "[a]s medidas previstas para" o "fazer face aos riscos"; o "demonstrar a conformidade com o presente regulamento".


A figura seguinte ilustra o processo iterativo genérico para a realização de uma AIPD:





d) Existe uma obrigação de publicar a AIPD?

A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.

A finalidade dessa publicação parcial seria ajudar a fomentar a confiança nas operações de tratamento do responsável pelo tratamento e demonstrar responsabilidade e transparência. Considera-se uma boa prática publicar uma AIPD quando os membros do público são afetados pela operação de tratamento.


E. Quando deve a autoridade de controlo ser consultada?

Sempre que o responsável pelo tratamento de dados não conseguir encontrar medidas suficientes para reduzir os riscos para um nível aceitável (ou seja, quando os riscos residuais permanecem elevados), é obrigatório consultar a autoridades de controlo.


IV. Conclusões e recomendações

A AIPD contribui significativamente para a conformidade com o regulamento quando está planeado ou ocorre um tratamento de dados de elevado risco. Significa isto que os responsáveis pelo tratamento de dados devem utilizar os critérios definidos no presente documento para determinar se uma AIPD deve ou não ser realizada. A política interna seguida pelo responsável pelo tratamento de dados pode alargar esta lista para além dos requisitos jurídicos do RGPD. Resulta daqui uma maior confiança por parte dos titulares dos dados e dos outros responsáveis pelo tratamento de dados.

Quando estiver planeado um tratamento suscetível de implicar um elevado risco, o responsável pelo tratamento dos dados deve:

- escolher uma metodologia para a AIPD (exemplos no anexo 1) que satisfaça os critérios que constam do anexo 2 ou especificar e aplicar um processo sistemático de AIPD que:


  • esteja em conformidade com os critérios que constam do anexo 2;

  • esteja integrado em processos já existentes de conceção, desenvolvimento, alteração, reavaliação de risco e reavaliação operacional, em conformidade com os processos, o contexto e a cultura internos;

  • envolva as partes interessadas adequadas e defina claramente as responsabilidades das mesmas (responsável pelo tratamento, encarregado da proteção de dados, titulares dos dados ou seus representantes, empresas, serviços técnicos, subcontratantes, diretor de segurança da informação, etc.);

- fornecer o relatório da AIPD à autoridade de controlo competente quando tal for solicitado;

- consultar a autoridade de controlo quando não tiver determinado medidas suficientes para atenuar os riscos elevados;

- reavaliar periodicamente a AIPD e o tratamento que esta avalia, pelo menos, quando houver uma alteração do risco colocado pelo tratamento da operação;

- documentar as decisões tomadas.








1 artigo 35.º, n.º 1

2 artigo 24.º, n.º 1.

3 artigo 35.º, n.º 1.

4 considerandos 71 e 91

5 artigo 35.º, n.º 3, alínea a

6 artigo 35.º, n.º 3, alínea c

7 considerando 75

8 artigo 35.º, n.º 1, e considerandos 89 e 91

9 artigo 22.º e considerando 91

10 artigo 35.º, n.º 1

11 nos termos do artigo 6.º, n.º 1, alíneas c ou e

12 artigo 35.º, n.º 10

13 artigo 35.º, n.º 5

14 artigo 35.º, n.os 1 e 10, e considerandos 90 e 93

15 artigo 25.º e considerando 78

16 artigo 35.º, n.º 2

17 artigo 35.º, n.º 2

18 em consonância com o artigo 28.º, n.º 3, alínea f

19 artigo 35.º, n.º 9

20 artigo 35.º, n.º 7, e considerandos 84 e 90



Fonte: https://www.cnpd.pt/home/rgpd/docs/wp248rev.01_pt.pdf

Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook