Como realizar uma Avaliação de Impacto sobre a Proteção de Dados?

Em que altura deve ser realizada uma AIPD?

A AIPD deve ser realizada «antes de iniciar o tratamento» (artigo 35.º, n.º 1 e 10). A AIPD deve ser encarada como um instrumento de apoio à tomada de decisão em relação ao tratamento. A realização de uma AIPD é um processo contínuo e não um exercício que acontece uma única vez.

Quem está obrigado a realizar uma AIPD?

O responsável pelo tratamento é responsável por garantir a realização da AIPD (artigo 35.º, n.º 2), devendo também solicitar o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado (artigo 35.º, n.º 2). Se o tratamento for total ou parcialmente efetuado por um subcontratante, o subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias (em consonância com o artigo 28.º, n.º 3, alínea f)).

O responsável pelo tratamento «solicita a opinião dos titulares de dados ou dos seus representantes» (artigo 35.º, n.º 9), «se for adequado».

Qual é a metodologia para realizar uma AIPD?

O RGPD define os elementos mínimos de uma AIPD (artigo 35.º, n.º 7, e considerandos 84 e 90):

  • «[u]ma descrição das operações de tratamento previstas e a finalidade do tratamento»;
  • «[u]ma avaliação da necessidade e proporcionalidade das operações de tratamento»;
  • «[u]ma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos»;
  • «[a]s medidas previstas para»
    o «fazer face aos riscos»;
    o «demonstrar a conformidade com o presente regulamento».

Em matéria de gestão dos riscos, uma AIPD destina-se a «gerir os riscos» para os direitos e as liberdades das pessoas singulares, utilizando os seguintes processos:

  • estabelecendo o contexto: «tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco»;
  • avaliando os riscos: «avaliar a probabilidade ou gravidade particulares do elevado risco»;
  • dando resposta aos riscos: «atenuar esse risco» e «assegurar a proteção dos dados pessoais» e «comprovar a observância do presente regulamento».

O RGPD dá aos responsáveis pelo tratamento de dados a flexibilidade necessária para determinar a estrutura e a forma precisas da AIPD com vista a que esta esta se encaixe nas práticas de trabalho existentes. Cabe ao responsável pelo tratamento de dados escolher uma metodologia.

Existe uma obrigação de publicar a AIPD?

A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.

Quando deve a autoridade de controlo ser consultada?

Sempre que o responsável pelo tratamento de dados não conseguir encontrar medidas suficientes para reduzir os riscos para um nível aceitável (ou seja, quando os riscos residuais permanecem elevados), é obrigatório consultar a autoridades de controlo.

Além disso, o responsável pelo tratamento deve consultar a autoridade de controlo sempre que o direito do Estado-Membro exija que os responsáveis pelo tratamento consultem a autoridade de controlo e/ou dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública (artigo 36.º, n.º 5).

RESUMO:

O responsável pelo tratamento dos dados deve:

  • escolher uma metodologia para a AIPD que satisfaça os critérios do RGPD ou especificar e aplicar um processo sistemático de AIPD que:
    – esteja em conformidade com os critérios do RGPD;
    – esteja integrado em processos já existentes de conceção, desenvolvimento, alteração, reavaliação de risco e reavaliação operacional, em conformidade com os processos, o contexto e a cultura internos;
    – envolva as partes interessadas adequadas e defina claramente as responsabilidades das mesmas (responsável pelo tratamento, encarregado da proteção de dados, titulares dos dados ou seus representantes, empresas, serviços técnicos, subcontratantes, diretor de segurança da informação, etc.);
  • fornecer o relatório da AIPD à autoridade de controlo competente quando tal for solicitado;
  • consultar a autoridade de controlo quando não tiver determinado medidas suficientes para atenuar os riscos elevados;
  • reavaliar periodicamente a AIPD e o tratamento que esta avalia, pelo menos, quando houver uma alteração do risco colocado pelo tratamento da operação;
  • documentar as decisões tomadas.