Quando é necessário realizar uma avaliação de impacto da proteção de dados (AIPD)?

Resposta

É necessária uma AIPD sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas. A AIPD é necessária pelo menos nos três casos seguintes:

• uma avaliação sistemática e completa dos aspetos pessoais, incluindo a definição de perfis;
• o tratamento de dados sensíveis em grande escala;
• o controlo sistemático de zonas públicas em grande escala.

As autoridades nacionais de proteção de dados, em concertação com o Comité Europeu para a Proteção de Dados, podem facultar listas de casos em que a AIPD é obrigatória. A AIPD deve ser realizada antes do tratamento e deve ser considerada como um instrumento evolutivo e não como um mero exercício pontual. Sempre que existam riscos residuais que não possam ser atenuados pelas medidas em vigor, a APD deve ser consultada antes do início do tratamento.

Exemplos

AIPD obrigatória
Um banco que faz a triagem dos seus clientes através da consulta de uma base de dados de referência de crédito; um hospital que vai começar a utilizar uma nova base de dados de informações de saúde com dados de saúde dos doentes; uma operadora de autocarros que vai instalar câmaras a bordo para controlar o comportamento dos motoristas e dos passageiros.

AIPD não obrigatória
Um médico da comunidade que efetua o tratamento dos dados pessoais dos seus doentes. Neste caso, não é necessário realizar uma AIPD, uma vez que o tratamento efetuado pelos médicos comunitários não é efetuado em grande escala caso o número de doentes seja limitado.

Referências

• Orientações do CEPD relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD)
• Artigos 35.º, 36.º; considerandos 89-96 do RGPD

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR