AIPD do RGPD: Quando Uma Avaliação de Impacto sobre a Proteção de Dados É Exigida? (2026)

Uma AIPD é exigida nos termos do artigo 35 do Regulamento (UE) 2016/679 sempre que um tratamento for suscetível de gerar um alto risco para os direitos e liberdades das pessoas físicas. Os controladores devem concluir a avaliação antes de o tratamento começar, não depois.
Para uma visão geral completa do regulamento, veja o que é o RGPD. Se você está construindo um programa de conformidade, a lista de verificação de conformidade com o RGPD aborda o conjunto mais amplo de obrigações, e Requisitos de DPO do RGPD explica quando você deve nomear um Encarregado de Proteção de Dados para assessorar na AIPD.
O Que É uma AIPD Segundo o RGPD?
Uma Avaliação de Impacto sobre a Proteção de Dados é um processo estruturado e documentado pelo qual um controlador de dados identifica e avalia os riscos à privacidade criados por uma operação de tratamento planejada, e determina medidas para reduzir esses riscos a um nível aceitável. O artigo 35(1) do Regulamento (UE) 2016/679 define a obrigação: "Quando um certo tipo de tratamento, em particular usando novas tecnologias e tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o controlador procede, antes de iniciar o tratamento, a uma avaliação do impacto das operações de tratamento previstas sobre a proteção de dados pessoais".
A AIPD substitui o regime de notificação prévia previsto na Diretiva 95/46/CE. O considerando 89 explica essa mudança: o RGPD elimina "a obrigação geral de notificação" porque o registro geral criava encargos administrativos sem melhorar de forma confiável a proteção. Em vez disso, o regulamento concentra a atenção regulatória no subconjunto de operações que genuinamente criam risco elevado.
A obrigação recai sobre o controlador. Os operadores podem prestar assistência, e o artigo 28(3)(f) exige especificamente que o operador "auxilie o controlador a garantir o cumprimento das obrigações nos termos dos artigos 32 a 36", mas o dever legal pertence exclusivamente ao controlador.
Uma AIPD não é um exercício único. O artigo 35(11) exige que os controladores revisem a avaliação "pelo menos quando há uma alteração do risco representado pelas operações de tratamento". Um tratamento avaliado como de baixo risco no momento do projeto pode se tornar de alto risco se a tecnologia, a escala, as categorias de dados ou o contexto de uso mudarem.
Quando uma AIPD É Obrigatória? O Limite de Alto Risco
A condição desencadeadora é que o tratamento seja "suscetível de resultar num elevado risco" para as pessoas, um padrão preditivo e prospectivo. O controlador deve avaliar se esse risco é provável, não esperar até que o dano se materialize. As novas tecnologias recebem menção específica no artigo 35(1) porque tendem a criar riscos que ainda não foram avaliados ou regidos por práticas estabelecidas.
O artigo 35(3) fornece três categorias explícitas que exigem inerentemente uma AIPD. Trata-se de pisos, não de tetos: outros tipos de tratamento não listados no artigo 35(3) ainda podem exigir uma AIPD se o padrão geral de alto risco do artigo 35(1) for atendido.
Artigo 35(3)(a): Definição de Perfis Automatizada e Sistemática com Efeitos Jurídicos ou Similarmente Significativos
O artigo 35(3)(a) exige uma AIPD para "uma avaliação sistemática e completa de aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, e que sirva de base a decisões que produzam efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar". Três elementos devem estar presentes em conjunto: a avaliação é sistemática e completa; o tratamento é automatizado; e as decisões resultantes produzem efeitos jurídicos (alteração de direitos ou de status jurídico) ou efeitos similarmente significativos (negação de emprego, exclusão de um benefício, deterioração material das condições financeiras).
O considerando 71 fornece exemplos concretos: pedidos de crédito on-line, triagem automatizada de recrutamento e modelos de precificação de seguros. A categoria também abrange pontuação algorítmica em policiamento preditivo, detecção automatizada de fraudes que bloqueia a conta de um cliente sem revisão humana, e pipelines de publicidade comportamental em que a diferenciação é material.
O princípio limitador é "efeitos jurídicos ou efeitos similarmente significativos". A personalização que muda a cor de uma página web, ou uma recomendação de playlist sem qualquer consequência, não atinge esse limite.
Artigo 35(3)(b): Tratamento em Larga Escala de Dados de Categoria Especial ou de Infrações Penais
O artigo 35(3)(b) exige uma AIPD para "o tratamento em larga escala de categorias especiais de dados a que se refere o artigo 9(1), ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10". As categorias especiais incluem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos tratados para identificação única, dados de saúde, e dados relativos à vida sexual ou à orientação sexual.
O qualificador de larga escala é importante. O considerando 91 explica que um profissional de saúde individual que trata os dados de seus próprios pacientes não está envolvido em tratamento em larga escala. O WP248 recomenda considerar quatro fatores: o número de titulares de dados; o volume ou a variedade de itens de dados; a duração da atividade; e a extensão geográfica. Um sistema hospitalar que trata registros de centenas de milhares de pacientes em uma rede regional claramente atinge esse limite; uma clínica de profissional autônomo que atende a algumas centenas de pacientes não.
Artigo 35(3)(c): Monitoramento Sistemático em Larga Escala de Áreas de Acesso Público
O artigo 35(3)(c) exige uma AIPD para "o monitoramento sistemático de zonas acessíveis ao público em larga escala". O considerando 91 dá como exemplo "o monitoramento de zonas acessíveis ao público em larga escala, nomeadamente quando são utilizados dispositivos optoeletrônicos". Sistemas de CFTV em espaços públicos são o caso paradigmático. O critério se aplica tanto a entidades privadas quanto a autoridades públicas. Sistemas modernos de análise de vídeo que usam reconhecimento facial ou reconhecimento de marcha se enquadram exatamente nessa categoria e acionam também uma consideração adicional nos termos do artigo 35(3)(a). Uma única câmera dentro de uma pequena loja, monitorada manualmente durante o horário de funcionamento, dificilmente será considerada em larga escala ou sistemática. Uma rede de centenas de câmeras no centro de uma cidade, com análises automatizadas e retenção de várias semanas, claramente é.
Os Nove Critérios do CEPD para Alto Risco
As diretrizes WP248 do CEPD (adotadas em outubro de 2017, endossadas pelo CEPD em maio de 2018) identificam nove critérios como indicadores de provável alto risco nos termos do artigo 35(1). Nenhum critério isolado é individualmente determinante; a posição do CEPD é que qualquer tratamento que satisfaça dois ou mais deve ser tratado como exigindo uma AIPD.
1. Avaliação ou pontuação. O tratamento avalia ou pontua pessoas, incluindo a definição de perfis e a previsão, a partir de aspectos como desempenho no trabalho, situação econômica, saúde, preferências pessoais, confiabilidade, comportamento, localização ou movimentos.
2. Decisão automatizada com efeitos jurídicos ou similares. O tratamento envolve decisões automatizadas que produzem efeitos jurídicos ou similarmente significativos, conforme o artigo 35(3)(a).
3. Monitoramento sistemático. O tratamento envolve observação ou controle sistemático de pessoas, incluindo dados coletados por meio de redes ou vigilância encoberta de funcionários ou consumidores. Abrange a impressão digital de dispositivos, o rastreamento persistente por cookies, o monitoramento de tráfego de rede e o software de monitoramento de funcionários.
4. Dados sensíveis ou de natureza altamente pessoal. O tratamento envolve dados de categoria especial do artigo 9, dados de infrações penais do artigo 10, dados financeiros, dados de localização, dados de saúde, ou outros dados cujo uso indevido poderia causar dano significativo. O CEPD destaca especificamente os dados de transações financeiras como indicador de alto risco.
5. Dados tratados em larga escala. Uma consideração autônoma que aplica o qualificador de larga escala do artigo 35(3)(b) a todos os tipos de dados pessoais, não apenas às categorias especiais.
6. Cruzamento ou combinação de conjuntos de dados. O tratamento combina, cruza ou compara dados de duas ou mais fontes distintas, de formas que podem exceder as expectativas razoáveis dos titulares de dados no momento em que cada fonte foi originalmente coletada.
7. Dados relativos a titulares vulneráveis. O tratamento envolve pessoas em posição de vulnerabilidade em relação ao controlador: crianças, funcionários, pacientes, idosos e requerentes de asilo. As crianças recebem menção especial porque são "menos conscientes dos riscos, das consequências e das salvaguardas envolvidos, e de seus direitos em relação ao tratamento de dados pessoais".
8. Uso inovador ou aplicação de novas soluções tecnológicas ou organizacionais. O tratamento aplica tecnologia de forma inovadora (IoT, reconhecimento biométrico, IA, dispositivos conectados), quando as consequências sociais ou individuais mais amplas ainda não foram estabelecidas.
9. Tratamento que impede os titulares de dados de exercer um direito ou usar um serviço. O tratamento decide se concede ou nega acesso a algo que o titular dos dados tem o direito ou a expectativa legítima de receber: uma conta bancária, um benefício governamental, um tratamento médico, um emprego ou uma moradia.
Listas Negras de AIPD das Autoridades Nacionais de Controle
O artigo 35(4) exige que cada autoridade nacional de controle "estabeleça e torne pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de uma avaliação de impacto sobre a proteção de dados, nos termos do n.º 1". Essas listas negras são juridicamente vinculantes em suas respectivas jurisdições. Os controladores que operam em vários Estados-Membros da UE/EEE devem verificar a lista negra de cada autoridade nacional relevante, pois as categorias que acionam a obrigação podem variar.
O artigo 35(5) permite que as autoridades de controle também publiquem uma lista branca de tipos de tratamento que não exigem uma AIPD. Quando uma entrada da lista branca cobre uma operação proposta, uma AIPD não é necessária, salvo se circunstâncias específicas elevarem a operação acima do limite geral de alto risco.
O mecanismo de coerência previsto no artigo 35(6) se aplica quando uma lista proposta envolve tratamento "relacionado com a oferta de bens ou serviços a titulares de dados ou com o monitoramento do seu comportamento em vários Estados-Membros, ou que possa afetar substancialmente a livre circulação de dados pessoais na União". Nesse caso, a autoridade deve usar o mecanismo de coerência do artigo 63, envolvendo o CEPD no processo.
Exemplos ilustrativos de listas negras de autoridades nacionais selecionadas: a CNIL francesa incluiu controle de acesso biométrico em locais de trabalho, pontuação preditiva de risco social em contextos do setor público, tratamento em larga escala de dados de saúde, e cruzamento automatizado de bancos de dados de empregadores e de benefícios sociais. A Conferência Alemã de Proteção de Dados incluiu o tratamento sistemático de dados de comportamento de funcionários, registros de saúde de pacientes em larga escala, e avaliação de crédito orientada por IA. A ICO do Reino Unido (UK GDPR) lista a definição de perfis em larga escala de crianças, o monitoramento sistemático de comunicações de funcionários, dados biométricos para autenticação da equipe, e perfis comportamentais de múltiplas fontes.
Os controladores devem verificar a lista atual publicada por cada autoridade de controle relevante, e não confiar em um resumo. As listas são atualizadas à medida que o CEPD adota novas orientações ou as autoridades nacionais respondem a novas tecnologias.
| Operação de Tratamento | Gatilho Aplicável | Exemplo |
|---|---|---|
| Pontuação de crédito automatizada com decisão de negação | Art. 35(3)(a) + critérios 1, 2 do CEPD | Credor fintech que usa aprendizado de máquina para aprovar ou rejeitar solicitações |
| Reconhecimento facial para controle de ponto de funcionários | Art. 35(3)(b), art. 35(3)(c) + critérios 3, 4, 8 do CEPD | Sistema biométrico de presença em uma grande força de trabalho |
| Análise de dados de saúde em larga escala | Art. 35(3)(b) + critérios 4, 5 do CEPD | Rede hospitalar que analisa registros de pacientes para pesquisa |
| CFTV em toda a cidade com análise de vídeo | Art. 35(3)(c) + critérios 3, 8 do CEPD | Rede de câmeras de cidade inteligente com análise comportamental automatizada |
| Software de monitoramento de produtividade de funcionários | Critérios 3, 7 do CEPD + lista negra do art. 35(4) | Registro de teclas digitadas e captura de tela em trabalhadores remotos |
| Perfil de publicidade comportamental entre plataformas | Critérios 1, 5, 6 do CEPD | Bolsa de publicidade que combina dados de navegação, compra e localização |
| Pontuação algorítmica de elegibilidade para benefícios | Art. 35(3)(a) + critérios 2, 7, 9 do CEPD | Sistema governamental que determina automaticamente o direito a auxílio-moradia |
| Aplicativo infantil que trata dados de localização e comportamento | Critérios 4, 7, 8 do CEPD | Plataforma educacional gamificada que coleta dados contínuos de uso de menores de 16 anos |
O Que uma AIPD Deve Conter: O Artigo 35(7)
O artigo 35(7) estabelece os requisitos mínimos de conteúdo. A avaliação deve incluir "pelo menos" quatro elementos, ampliados no WP248.
| Elemento Exigido (Art. 35(7)) | O Que Deve Cobrir | Perguntas Práticas a Responder |
|---|---|---|
| (a) Descrição sistemática das operações de tratamento e das finalidades, incluindo, quando aplicável, o legítimo interesse perseguido pelo controlador | Descrever quais dados são coletados, de quais fontes, por quais meios, como são usados, por quem, por quanto tempo são retidos, e a quem são divulgados | Quais dados pessoais são tratados? Qual é o fundamento legal? Quem tem acesso? Há operadores envolvidos? |
| (b) Avaliação da necessidade e da proporcionalidade das operações de tratamento em relação às finalidades | Demonstrar que o tratamento é o meio mínimo necessário e proporcional para atingir a finalidade declarada; que alternativas menos intrusivas à privacidade foram consideradas | O mesmo objetivo poderia ser alcançado com menos dados, com dados anonimizados, ou sem a nova tecnologia? |
| (c) Avaliação dos riscos para os direitos e liberdades dos titulares de dados | Identificar cenários de risco específicos: violações de dados, acesso ilícito, reidentificação, decisões discriminatórias, perda do direito ao apagamento, efeitos inibidores sobre o comportamento | Qual é a probabilidade de cada cenário de risco? Qual é a gravidade do dano, se ele se materializar? |
| (d) Medidas previstas para tratar os riscos, incluindo salvaguardas, medidas de segurança e mecanismos para garantir a proteção dos dados pessoais e demonstrar a conformidade com o RGPD | Descrever as medidas técnicas e organizacionais para mitigar cada risco identificado; declarar o risco residual que permanece após a aplicação das medidas | Que cifragem, controles de acesso, pseudonimização ou medidas de minimização de dados estão em vigor? Qual é o risco residual? |
Além dos quatro elementos obrigatórios, o WP248 recomenda também documentar: a identidade e os dados de contato do controlador e do encarregado de proteção de dados; as categorias de titulares de dados e de dados pessoais; os prazos de retenção; um registro de como o encarregado foi consultado; e a data da avaliação e a data prevista de revisão.
A AIPD é um documento de trabalho. Um resumo de duas páginas afirmando que "medidas adequadas foram tomadas" não está em conformidade. A posição do CEPD é que o documento deve refletir uma metodologia estruturada e repetível, como a metodologia de Avaliação de Impacto sobre a Privacidade da CNIL, a ISO 29134, ou o padrão BSI 200-2, embora o regulamento não exija nenhuma metodologia específica.
Quem É Responsável Pela AIPD?
O controlador é legalmente responsável por realizar a AIPD e pela exatidão e integralidade de seu conteúdo. Isso não pode ser delegado por contrato a um operador ou a um fornecedor de consultoria de AIPD.
O artigo 35(2) exige que o controlador "solicite o parecer do encarregado de proteção de dados, quando designado, ao realizar uma avaliação de impacto sobre a proteção de dados". Trata-se de uma obrigação de consulta, não de uma transferência de responsabilidade. O papel do encarregado na AIPD está previsto no artigo 39(1)(c), que exige que o encarregado "preste aconselhamento, quando solicitado, no que se refere à avaliação de impacto sobre a proteção de dados e supervisione a sua realização, nos termos do artigo 35". Se o controlador desconsiderar o aconselhamento do encarregado, deve documentar os motivos.
O artigo 35(9) incentiva os controladores a "buscar as opiniões dos titulares de dados ou de seus representantes sobre o tratamento pretendido". Trata-se de uma recomendação de melhor prática, não de um requisito obrigatório, mas, para produtos voltados ao consumidor, ela pode fortalecer a fase de identificação de riscos.
Os operadores que constroem produtos usados por controladores para tratamento de alto risco têm interesse indireto. O artigo 28(3)(f) exige que o operador auxilie o controlador, e muitos operadores agora fornecem documentação de AIPD pré-construída ou ferramentas de mapeamento de fluxo de dados como entrega contratual.
Prazo: Antes de o Tratamento Começar
O artigo 35(1) é inequívoco: a AIPD deve ser concluída "antes de iniciar o tratamento". A avaliação deve estar concluída, os riscos avaliados, as medidas de mitigação implementadas (ou a consulta prévia concluída, se o risco residual permanecer alto), e o controlador convencido de que o tratamento pode prosseguir licitamente. Tudo isso deve ser feito antes de qualquer tratamento ativo começar.
Os controladores devem incorporar a conclusão da AIPD aos cronogramas de projeto. Uma AIPD iniciada após o lançamento, ou retroativamente elaborada para cobrir um tratamento já em curso, não está em conformidade. As autoridades de controle já criticaram expressamente as AIPDs feitas a posteriori como evidência de que o princípio de prestação de contas do artigo 5(2) não foi observado.
O considerando 90 estabelece a sequência exigida: projetar o tratamento; realizar a AIPD; se o risco residual permanecer alto, consultar a autoridade de controle; só então iniciar o tratamento.
Para grandes organizações, um processo em fases é comum. Uma fase de triagem determina se uma AIPD completa é necessária. Quando a triagem confirma alto risco, a AIPD completa é realizada antes de o projeto do tratamento ser finalizado. Tanto a ICO quanto a CNIL publicam modelos de triagem que os controladores podem usar para documentar o resultado, mesmo quando a conclusão é de que uma AIPD completa não é necessária.
Fluxo de Trabalho de AIPD, Passo a Passo
Etapa 1: Identificar a operação de tratamento e confirmar se uma AIPD é exigida. Mapeie a operação planejada, incluindo tipos de dados, titulares, finalidades, fundamento legal, tecnologia, prazo de retenção e partes envolvidas. Aplique o teste de três partes: (a) A operação se enquadra em uma categoria obrigatória do artigo 35(3)? (b) A lista negra da autoridade de controle cobre esse tipo de tratamento? (c) Dois ou mais dos nove critérios do CEPD se aplicam? Se qualquer resposta for sim, uma AIPD é exigida. Documente o resultado de toda forma.
Etapa 2: Consultar o encarregado de proteção de dados. Nos termos do artigo 35(2), se um encarregado tiver sido nomeado, compartilhe o resultado da Etapa 1, peça que confirme a metodologia e sinalize preocupações jurídicas preliminares. Registre a data da consulta e a resposta do encarregado.
Etapa 3: Descrever o tratamento sistematicamente. Prepare uma descrição escrita abrangendo: categorias e volume de dados pessoais; titulares de dados afetados; método de coleta; finalidades específicas; fundamento legal nos termos do artigo 6(1) (e do artigo 9(2), se categorias especiais estiverem envolvidas); fluxo de dados desde a coleta até a exclusão; operadores e suboperadores e a relação contratual com cada um; cronograma de retenção; e jurisdições de tratamento.
Etapa 4: Avaliar a necessidade e a proporcionalidade. Para cada finalidade de tratamento, avalie: se a finalidade poderia ser alcançada sem dados pessoais, com dados anonimizados ou pseudonimizados, ou com menos dados; se o prazo de retenção é o mínimo necessário; se o fundamento legal é adequadamente compatível; e se o tratamento é consistente com as expectativas razoáveis dos titulares de dados. Quando existir uma alternativa menos intrusiva, documente o motivo de escolher o caminho mais intrusivo.
Etapa 5: Identificar e avaliar os riscos. Para cada elemento do tratamento, identifique cenários de risco categorizados pelo impacto nas pessoas (incapacidade de exercer direitos; dano físico, econômico ou reputacional; tratamento discriminatório; perda de confidencialidade; reidentificação; efeitos inibidores) e pela probabilidade, levando em conta as salvaguardas existentes. Para cada cenário, registre a classificação de probabilidade, a classificação de gravidade, e as medidas de mitigação existentes.
Etapa 6: Identificar e documentar as medidas de mitigação. Para cada cenário de risco médio ou alto, identifique medidas adicionais: técnicas (cifragem, pseudonimização, minimização de dados, exclusão automatizada, controle de acesso, registro de auditoria) e organizacionais (treinamento de equipe, obrigações contratuais de operadores, procedimentos de resposta a violações, revisões de acesso, privacidade desde o design). Para cada medida, registre o risco residual que permaneceria.
Etapa 7: Avaliar o risco residual geral. Se todos os riscos identificados foram reduzidos a um nível baixo ou aceitável, a AIPD sustenta a decisão de prosseguir. Se algum cenário de risco mantiver um alto risco residual, o controlador deve redesenhar o tratamento para reduzi-lo, ou avançar para a Etapa 8.
Etapa 8: Consulta prévia à autoridade de controle, se o alto risco residual permanecer. O artigo 36(1) estabelece: "O controlador consulta a autoridade de controle antes de proceder ao tratamento, sempre que uma avaliação de impacto sobre a proteção de dados nos termos do artigo 35 indicar que o tratamento resultaria num elevado risco na ausência de medidas tomadas pelo controlador para mitigar o risco". O tratamento não pode começar até que a autoridade tenha respondido ou o prazo de consulta tenha decorrido.
Etapa 9: Documentar, aprovar e registrar a AIPD. A AIPD concluída deve ser aprovada pelo controlador ou por um representante designado, com autoridade para aceitar o risco. Quando o encarregado foi consultado, seu aconselhamento e a resposta do controlador devem fazer parte do registro. Conserve como documentação de prestação de contas nos termos do artigo 5(2).
Etapa 10: Estabelecer um cronograma de revisão. O artigo 35(11) exige a revisão "pelo menos quando há uma alteração do risco representado pelas operações de tratamento". Incorpore uma data de revisão ao próprio documento: normalmente de 12 a 24 meses para operações de risco moderado, e de 6 a 12 meses para as que estão próximas ao limite de alto risco. Qualquer mudança relevante na tecnologia, na escala, nos tipos de dados, nas finalidades ou no contexto regulatório deve acionar uma revisão intermediária.
Consulta Prévia Nos Termos do Artigo 36
O artigo 36 é acionado quando a AIPD conclui que o risco residual permanece alto, mesmo após a aplicação de todas as medidas de mitigação razoáveis. O controlador deve então consultar a autoridade de controle antes de prosseguir. O artigo 36(1) usa o termo obrigatório "consulta".
Ao apresentar um pedido de consulta prévia, o controlador deve fornecer os materiais listados no artigo 36(3): as respectivas responsabilidades do controlador e do operador; as finalidades e os meios do tratamento pretendido; as medidas e salvaguardas para proteger os titulares de dados; os dados de contato do encarregado de proteção de dados; a AIPD concluída; e quaisquer outras informações solicitadas pela autoridade.
A autoridade de controle tem até oito semanas para fornecer parecer por escrito, nos termos do artigo 36(2), prorrogável por mais seis semanas para tratamentos particularmente complexos. Durante o período de consulta, a autoridade pode usar "qualquer um de seus poderes previstos no artigo 58", incluindo a emissão de uma advertência formal, a imposição de uma proibição temporária de tratamento, ou a instauração de processos por infração.
A consulta prévia não é uma pré-aprovação regulatória nem um porto seguro. Uma autoridade de controle que não se opõe dentro do prazo de consulta não aprovou afirmativamente o tratamento. O controlador continua legalmente responsável pela conformidade com o RGPD. Uma consulta prévia concluída, no entanto, cria um registro contemporâneo de que o controlador identificou o risco residual, o divulgou à autoridade competente, e não foi instruído a interromper.
O artigo 36(4) exige que os Estados-Membros consultem a autoridade de controle "durante a preparação de uma proposta de medida legislativa a ser adotada por um parlamento nacional... relacionada com o tratamento", o equivalente do setor público ao mesmo princípio.
Consequências de Não Realizar uma AIPD Exigida
A não realização de uma AIPD exigida constitui uma infração direta ao artigo 35. Nos termos do artigo 83(4), as infrações aos artigos 35 e 36 estão sujeitas ao patamar inferior de multa administrativa: até 10 milhões de euros, ou 2% do faturamento anual mundial total, o que for maior. A multa é aplicada por infração e por estabelecimento.
Tanto a AEPD espanhola quanto a autoridade de controle húngara já emitiram decisões em que a ausência de uma AIPD para tratamento de alto risco constava entre as infrações listadas. Os relatórios anuais do CEPD identificam a conformidade com a AIPD como uma das lacunas mais frequentemente encontradas durante inspeções.
Além do risco direto de multa, a ausência de uma AIPD cria problemas de prestação de contas a jusante. Um controlador que não consegue apresentar uma AIPD para um tratamento claramente de alto risco não consegue demonstrar conformidade com o artigo 5(2), nem com a obrigação de implementar medidas técnicas e organizacionais adequadas nos termos do artigo 24(1). A ausência do documento é, por si só, evidência de falha sistêmica.
Os operadores que atuam sob acordos do artigo 28 são cada vez mais obrigados pelos controladores a certificar sua cooperação com os processos de AIPD. Operadores que não conseguem documentar seus fluxos de dados, suboperadores e arquitetura de segurança criam lacunas de conformidade para seus clientes controladores.
Interação com Outras Disposições do RGPD
Proteção de dados desde o design e por padrão (Artigo 25). O artigo 25(1) exige que os controladores implementem medidas destinadas a aplicar os princípios de proteção de dados e a integrar as salvaguardas necessárias no tratamento. A AIPD é o principal mecanismo para identificar quais devem ser essas medidas para tratamentos de alto risco, alimentando diretamente o processo de privacidade desde o design.
Registros de atividades de tratamento (Artigo 30). A AIPD deve ser cruzada com o registro do artigo 30. O registro é o inventário; a AIPD é o aprofundamento para as entradas de alto risco.
Segurança do tratamento (Artigo 32). O artigo 32(1) exige medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado ao risco. A avaliação de risco da AIPD é o fundamento natural para a análise do artigo 32. Os controladores que tratam esses exercícios como separados costumam descobrir que sua avaliação de segurança contradiz sua AIPD.
Categorias especiais e infrações penais (Artigos 9 e 10). Além de acionar a AIPD obrigatória do artigo 35(3)(b), a lista mais restrita de fundamentos legais permitidos pelos artigos 9 e 10 significa que a avaliação de necessidade e proporcionalidade deve examinar de forma mais rigorosa se a condição específica do artigo 9(2) invocada realmente se aplica a cada elemento do tratamento.
Transferências para países terceiros (Artigos 46 a 49). Quando o tratamento envolve a transferência de dados pessoais para fora da UE/EEE, o mecanismo de transferência deve ser documentado na AIPD, e a adequação da proteção no país destinatário deve ser considerada na avaliação de risco. O acórdão Schrems II (Comissário de Proteção de Dados contra Facebook Ireland Limited e Maximillian Schrems, processo C-311/18, Grande Seção, 16 de julho de 2020) exige que os controladores realizem uma avaliação de impacto da transferência para transferências baseadas em cláusulas contratuais-padrão; essa avaliação deve ser integrada à AIPD ou diretamente referenciada por ela.
Aviso legal: Este artigo apresenta informações jurídicas gerais sobre o Regulamento (UE) 2016/679 (RGPD) e não constitui aconselhamento jurídico. O RGPD é interpretado e fiscalizado por autoridades de controle em 30 Estados-Membros da UE/EEE, e os requisitos aplicáveis podem variar de acordo com a natureza do seu tratamento, os Estados-Membros em que você opera, e os desenvolvimentos na orientação regulatória e na jurisprudência. As informações desta página foram verificadas em fontes oficiais até junho de 2026. Consulte um advogado qualificado ou um especialista em proteção de dados licenciado na jurisdição relevante para obter aconselhamento sobre a sua situação específica.
Frequently Asked Questions
Quando uma AIPD é exigida segundo o RGPD?
Uma AIPD é exigida nos termos do artigo 35(1) quando o tratamento é suscetível de gerar um alto risco para os direitos e liberdades das pessoas físicas, especialmente quando novas tecnologias são utilizadas. O artigo 35(3) torna as AIPDs obrigatórias em três casos: definição de perfis automatizada e sistemática com efeitos jurídicos ou similarmente significativos; tratamento em larga escala de dados de categoria especial ou de infrações penais; e monitoramento sistemático em larga escala de áreas de acesso público. Os controladores também devem verificar a lista negra publicada por sua autoridade nacional de controle. Quando dois ou mais dos nove critérios de alto risco do CEPD são atendidos, a posição do CEPD segundo o WP248 é a de que uma AIPD deve ser realizada.
Quem é responsável por realizar uma AIPD?
O controlador é legalmente responsável por realizar a AIPD. O artigo 35(2) exige que o controlador consulte seu Encarregado de Proteção de Dados designado durante a avaliação, se um tiver sido nomeado, mas o papel do encarregado é consultivo: a responsabilidade pela exatidão e integralidade da AIPD permanece com o controlador. Os operadores devem auxiliar os controladores nos termos do artigo 28(3)(f), mas não podem assumir a responsabilidade legal do controlador. Os controladores não podem terceirizar por contrato a obrigação da AIPD, embora possam usar especialização externa para apoiar o processo.
O que acontece se um controlador não realizar uma AIPD exigida?
A não realização de uma AIPD exigida é uma infração ao artigo 35, sujeita a multas administrativas nos termos do artigo 83(4) de até 10 milhões de euros, ou 2% do faturamento anual mundial total, o que for maior. Além da multa direta, a ausência de uma AIPD é evidência de falha em implementar medidas técnicas e organizacionais adequadas nos termos do artigo 24(1), e de falha em demonstrar conformidade com o artigo 5(2). As autoridades de controle que realizam inspeções ou tratam reclamações rotineiramente identificam AIPDs ausentes como uma lacuna de conformidade, e sua ausência pode transformar uma infração isolada em uma conclusão mais ampla de falha sistêmica de prestação de contas.
Uma AIPD é obrigatória para vigilância por CFTV?
O monitoramento sistemático em larga escala de áreas de acesso público por meio de CFTV se enquadra no gatilho de AIPD obrigatória do artigo 35(3)(c). Se uma instalação específica atende aos limites de larga escala e sistemático depende dos fatos: uma única câmera dentro de uma pequena loja de varejo, monitorada manualmente durante o horário comercial, dificilmente exigirá uma AIPD, enquanto uma rede de câmeras em um grande espaço público, com análises automatizadas e prazos de retenção estendidos, claramente exige. Os controladores também devem verificar a lista negra de sua autoridade nacional de controle. Quando o sistema de CFTV incorpora reconhecimento facial ou análise biométrica, o artigo 35(3)(a) e (b) também será acionado.
O que é a consulta prévia nos termos do artigo 36 do RGPD?
A consulta prévia é o processo pelo qual um controlador deve notificar e consultar sua autoridade de controle competente antes de iniciar um tratamento que, mesmo após a aplicação de todas as medidas de mitigação razoáveis, mantém um alto risco residual para os titulares de dados. A obrigação prevista no artigo 36(1) se aplica quando a AIPD confirma que o alto risco residual não pode ser adequadamente reduzido. O controlador deve apresentar a AIPD concluída, uma descrição do tratamento, as salvaguardas em vigor e os dados de contato do encarregado de proteção de dados. A autoridade de controle tem até oito semanas para responder, com uma possível prorrogação de seis semanas para operações complexas. A autoridade pode aconselhar, emitir advertências, ou proibir o tratamento se considerar que a operação violaria o RGPD.
Uma AIPD precisa ser enviada à autoridade de controle?
Não rotineiramente. Uma AIPD é um documento interno de prestação de contas que o controlador prepara e conserva. O envio só é exigido em duas situações: quando a consulta prévia nos termos do artigo 36 é acionada, porque a AIPD revela um alto risco residual que não pode ser mitigado; e quando uma autoridade de controle exerce seus poderes de inspeção ou investigação e solicita a revisão da AIPD. Os controladores devem, portanto, tratar as AIPDs como documentos que podem ser solicitados pelas autoridades a qualquer momento, e garantir que sejam detalhados, bem documentados e atualizados.
Uma única AIPD pode cobrir várias operações de tratamento?
Sim. O artigo 35(1) se refere a um 'tipo de operação de tratamento', e o considerando 92 confirma que uma AIPD pode abordar um conjunto de operações de tratamento semelhantes que apresentem riscos elevados semelhantes. Uma única AIPD que cubra uma plataforma que trata dados de várias formas comparáveis é aceitável, desde que a avaliação trate dos riscos específicos associados a cada atividade distinta. Da mesma forma, autoridades públicas que estabelecem infraestrutura de tratamento compartilhada, e múltiplos controladores do mesmo setor que implementam uma tecnologia comum, podem realizar uma única AIPD, sujeita à revisão, por cada controlador, da avaliação compartilhada para seu próprio contexto específico.
Com que frequência uma AIPD deve ser revisada?
O artigo 35(11) exige que os controladores revisem a AIPD 'pelo menos quando há uma alteração do risco representado pelas operações de tratamento'. Não há um intervalo calendário fixo no texto do RGPD, mas o WP248 recomenda estabelecer um cronograma de revisão no momento em que a AIPD é concluída, com intervalos típicos de um a dois anos para operações de risco moderado. Qualquer mudança relevante no tratamento (incluindo novos tipos de dados, um aumento significativo de escala, nova tecnologia, uma nova finalidade, novos países destinatários, ou uma mudança no contexto jurídico ou regulatório) deve acionar uma revisão intermediária. Os controladores devem registrar a data de revisão programada no próprio documento da AIPD.
Qual é o documento de orientação do CEPD sobre AIPDs?
A principal orientação do CEPD é o WP248rev.01, 'Diretrizes sobre a Avaliação de Impacto sobre a Proteção de Dados (AIPD) e determinação de se o tratamento é suscetível de resultar em um alto risco, para os fins do Regulamento 2016/679'. Foi adotado pelo Grupo de Trabalho do Artigo 29 em 4 de abril de 2017, revisado em 4 de outubro de 2017, e endossado pelo CEPD em sua primeira sessão plenária, em maio de 2018. O WP248 estabelece os nove critérios de alto risco, recomenda que os controladores realizem uma AIPD quando dois ou mais critérios são atendidos, descreve o que uma AIPD deve conter, e explica a relação entre a AIPD e a consulta prévia. O documento completo está disponível no site do CEPD, em edpb.europa.eu.
As regras de AIPD do RGPD se aplicam a operadores, além dos controladores?
A obrigação legal de realizar uma AIPD recai sobre o controlador, não sobre o operador. No entanto, o artigo 28(3)(f) exige que o acordo de tratamento de dados inclua uma disposição pela qual o operador auxilie o controlador a garantir a conformidade com os artigos 32 a 36, o que inclui expressamente a AIPD e as obrigações de consulta prévia. Na prática, os operadores devem fornecer aos controladores informações sobre seus fluxos de dados, seus suboperadores e sua arquitetura de segurança. Os operadores que projetam produtos com probabilidade de serem usados para tratamento de alto risco são cada vez mais obrigados a produzir documentação de AIPD pré-construída, ou modelos de avaliação de impacto sobre a privacidade, como parte de sua oferta de produto.
Sources and References
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (RGPD), artigo 35 (Avaliação de impacto sobre a proteção de dados)(eur-lex.europa.eu)
- Regulamento (UE) 2016/679, artigo 36 (Consulta prévia)(eur-lex.europa.eu)
- Regulamento (UE) 2016/679, considerandos 84, 89, 90, 91, 92, 93(eur-lex.europa.eu)
- Grupo de Trabalho do Artigo 29 (WP29), Diretrizes sobre a Avaliação de Impacto sobre a Proteção de Dados (AIPD) e determinação de alto risco, WP248rev.01 (adotado em 4 de outubro de 2017, endossado pelo CEPD em maio de 2018)(ec.europa.eu)
- Comitê Europeu para a Proteção de Dados, Endosso das Diretrizes do WP29, Primeira Sessão Plenária do CEPD (25 a 26 de maio de 2018)(edpb.europa.eu)
- Tribunal de Justiça da União Europeia, processo C-131/12, Google Spain SL e Google Inc. contra Agencia Espanola de Proteccion de Datos (AEPD) e Mario Costeja Gonzalez, Grande Seção, 13 de maio de 2014(eur-lex.europa.eu)
- Tribunal de Justiça da União Europeia, processo C-311/18, Comissário de Proteção de Dados contra Facebook Ireland Limited e Maximillian Schrems (Schrems II), Grande Seção, 16 de julho de 2020(eur-lex.europa.eu)
- Comitê Europeu para a Proteção de Dados, Lista do Artigo 35(4) de Operações de Tratamento que Exigem uma AIPD: listas das autoridades nacionais de controle(edpb.europa.eu)
- Information Commissioner's Office (UK GDPR), Avaliações de Impacto sobre a Proteção de Dados(ico.org.uk)
- Commission nationale de l'informatique et des libertes (CNIL), Lista de tratamentos para os quais uma AIPD é exigida (lista negra de AIPD da autoridade francesa)(cnil.fr)