Resposta

É necessária uma AIPD sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas. A AIPD é necessária pelo menos nos três casos seguintes:

  • uma avaliação sistemática e completa dos aspetos pessoais, incluindo a definição de perfis;
  • o tratamento de dados sensíveis em grande escala;
  • o controlo sistemático de zonas públicas em grande escala.

As autoridades nacionais de proteção de dados, em concertação com o Comité Europeu para a Proteção de Dados, podem facultar listas de casos em que a AIPD é obrigatória. A AIPD deve ser realizada antes do tratamento e deve ser considerada como um instrumento evolutivo e não como um mero exercício pontual. Sempre que existam riscos residuais que não possam ser atenuados pelas medidas em vigor, a APD deve ser consultada antes do início do tratamento.

Exemplos

AIPD obrigatória
Um banco que faz a triagem dos seus clientes através da consulta de uma base de dados de referência de crédito; um hospital que vai começar a utilizar uma nova base de dados de informações de saúde com dados de saúde dos doentes; uma operadora de autocarros que vai instalar câmaras a bordo para controlar o comportamento dos motoristas e dos passageiros.

AIPD não obrigatória
Um médico da comunidade que efetua o tratamento dos dados pessoais dos seus doentes. Neste caso, não é necessário realizar uma AIPD, uma vez que o tratamento efetuado pelos médicos comunitários não é efetuado em grande escala caso o número de doentes seja limitado.

Referências

  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679, de 4 de abril de 2017.
  • Artigos 35.º e 36.º e considerandos 89 a 96 do RGPD