Page contents Page contents Resposta É necessária uma AIPD sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas. A AIPD é necessária pelo menos nos três casos seguintes: uma avaliação sistemática e completa dos aspetos pessoais, incluindo a definição de perfis; o tratamento de dados sensíveis em grande escala; o controlo sistemático de zonas públicas em grande escala. As autoridades nacionais de proteção de dados, em concertação com o Comité Europeu para a Proteção de Dados, podem facultar listas de casos em que a AIPD é obrigatória. A AIPD deve ser realizada antes do tratamento e deve ser considerada como um instrumento evolutivo e não como um mero exercício pontual. Sempre que existam riscos residuais que não possam ser atenuados pelas medidas em vigor, a APD deve ser consultada antes do início do tratamento. Exemplos AIPD obrigatóriaUm banco que faz a triagem dos seus clientes através da consulta de uma base de dados de referência de crédito; um hospital que vai começar a utilizar uma nova base de dados de informações de saúde com dados de saúde dos doentes; uma operadora de autocarros que vai instalar câmaras a bordo para controlar o comportamento dos motoristas e dos passageiros. AIPD não obrigatóriaUm médico da comunidade que efetua o tratamento dos dados pessoais dos seus doentes. Neste caso, não é necessário realizar uma AIPD, uma vez que o tratamento efetuado pelos médicos comunitários não é efetuado em grande escala caso o número de doentes seja limitado. Referências Orientações do CEPD relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) Artigos 35.º, 36.º; considerandos 89-96 do RGPD Examples DPIA required A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour. DPIA not required A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited. References EDPB Guidelines on Data Protection Impact Assessment (DPIA) Articles 35 and 36 and Recitals (89) to (96) of the GDPR
