Avaliação de impacto sobre a proteção de dados

Uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é um processo exigido pelo Artigo 35 do RGPD para avaliar e mitigar os riscos de atividades de tratamento de dados propostas que possam resultar em elevado risco para os direitos e liberdades dos indivíduos. Uma AIPD é obrigatória quando o tratamento envolve perfilagem sistemática e extensiva com efeitos significativos, tratamento em grande escala de dados sensíveis, ou monitorização sistemática em grande escala de áreas acessíveis ao público (como CCTV). As autoridades de controlo podem também publicar listas de operações de tratamento adicionais que requerem AIPDs.

Uma AIPD deve incluir uma descrição sistemática das operações de tratamento e das suas finalidades, uma avaliação da necessidade e proporcionalidade do tratamento em relação às finalidades, uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados, e as medidas planeadas para abordar esses riscos. O parecer do EPD deve ser solicitado durante o processo de AIPD. Se a avaliação revelar que o tratamento resultaria num risco elevado que não pode ser mitigado, a organização deve consultar a autoridade de controlo antes de prosseguir. As AIPDs devem ser revistas e atualizadas quando as operações de tratamento mudam.