É um documento de Avaliação de Impacto sobre Proteção de Dados (AIPD) que descreve múltiplas operações de tratamento, avalia a necessidade do tratamento e auxilia a gestão dos riscos para determinar medidas necessárias no tratamento dos dados pessoais.
Não é obrigatório realizar uma AIPD para todas as operações de tratamento quando justificado e documentado com as razões da não realização do mesmo.
Quando implica um elevado risco do tratamento nas atividades de processamento de dados pessoais, é obrigatório a realização de uma AIPD às operações de tratamento existentes de forma a mitigar os riscos identificados. Neste caso, a não realização ou uma realização incorreta da AIPD, pode conduzir à imposição de coimas pela autoridade de controlo competente.
Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.
Contudo, todo este processo pode ser complementado com boas práticas ou orientações mais pormenorizadas de outras frameworks.
O documento deve ser preparado com vista de uma situação atual e deve ser o DPO a conduzir todo o processo de acordo com os critérios e elementos no artigo 35º, nº 7:
1. Âmbito do AIPD;
2. Objetivos da avaliação de impacto;
3. Equipa e contactos dos responsáveis;
4. Operações de Tratamento de dados pessoais:
– Contexto e finalidades do tratamento de dados pessoais;
– Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
– Acessos aos dados pessoais;
– Descrição das operações de tratamento de dados pessoais;
5. Avaliação das necessidades nas operações de processamento:
– Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
– Medidas que contribuem para os direitos dos titulares dos dados;
6. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados:
– Relacionados com a violação de confidencialidade ou integridade;
– Relacionados com a perda de dados pessoais;
– Relacionados com o exercício dos direitos dos titulares de dados;
– Possíveis impactos e ameaças;
– Medida para redução do riscos com descrições técnicas;
7. Prever medidas de segurança e procedimentos para assegurar a protecção de dados:
– Descrição de medidas técnicas para assegurar a proteção;
9. Recomendações de melhoria;
Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais.
Por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.
