RGPD - ARTIGO 35 - AVALIAÇÃO DE IMPACTO (AIPD)

A sua AIPD conforme
ao método da CNIL

O RGPD impõe uma Avaliação de Impacto sobre a Proteção de Dados para qualquer tratamento suscetível de gerar um risco elevado para os direitos e liberdades das pessoas. A SYAGA DPIA-Express estrutura e documenta a sua AIPD segundo a metodologia do artigo 35 e as orientações do CEPD, sem improviso e sem jargão.

35
Artigo do RGPD (AIPD)
9
Critérios do CEPD (WP248 rev.01)
3
Casos de obrigação (art. 35.3)
4
Componentes do método (art. 35.7 a-d)

A obrigação

Determinar se o seu tratamento deve ser objeto de uma AIPD, e depois conduzi-la de acordo com as regras

O artigo 35 do RGPD impõe uma AIPD

Qualquer tratamento suscetível de gerar um risco elevado para os direitos e liberdades das pessoas singulares deve ser objeto de uma Avaliação de Impacto sobre a Proteção de Dados antes da sua implementação (RGPD, art. 35).

📋

A regra da CNIL dos «2 critérios em 9»

O CEPD (ex-G29, orientações WP248 rev.01) definiu 9 critérios de risco elevado. Assim que um tratamento cumpra pelo menos dois destes critérios, uma AIPD deve em princípio ser realizada: uma única peça mal identificada, e o processo fica incompleto.

🔍

Listas da CNIL a confrontar artigo por artigo

A CNIL (autoridade francesa) publica listas de tratamentos para os quais a AIPD é exigida ou não exigida. Determinar exatamente onde se situa o seu tratamento exige uma leitura rigorosa, não uma impressão geral.

Sem método, o risco é duplo

Conduzir uma AIPD demasiado depressa expõe-o à incompletude perante uma autoridade de controlo; não a conduzir quando é exigida expõe a organização a um incumprimento do artigo 35. O método da CNIL estrutura esta escolha e documenta-a.

O método: DPIA-Express

A estrutura imposta pelo artigo 35.7 do RGPD, aplicada ao seu tratamento, com uma conclusão fundamentada em cada etapa

1
Determinação da obrigação

O seu tratamento está mesmo sujeito à AIPD?

Análise face aos 3 casos do artigo 35.3, à grelha dos 9 critérios do CEPD (WP248 rev.01) e às listas da CNIL dos tratamentos exigidos ou não exigidos. Conclusão fundamentada, quer a AIPD seja finalmente obrigatória ou não.

2
Art. 35.7.a

Descrição sistemática do tratamento

Finalidades, categorias de dados e de pessoas em causa, destinatários, prazos de conservação: a cartografia completa exigida pelo artigo 35.7.a, coerente com o seu registo das atividades de tratamento (art. 30).

3
Art. 35.7.b

Necessidade e proporcionalidade

Verificação de que cada dado recolhido é necessário à finalidade prosseguida, de que a base legal (art. 6) está identificada para cada tratamento, e de que o princípio da minimização (art. 5.1.c) é respeitado.

4
Art. 35.7.c

Avaliação dos riscos para as pessoas

Para cada risco identificado: gravidade, probabilidade, medidas já implementadas, risco residual, apresentado sob a forma de tabela utilizável pela sua direção ou pelo seu DPO.

5
Art. 35.7.d e 5.2

Medidas e conclusão documentada

Medidas técnicas e organizativas previstas (art. 32), conclusão fundamentada e justificação documentada ao abrigo da responsabilização (art. 5.2), mobilizável em caso de fiscalização pela CNIL.

O que recebe

Um documento estruturado, sourceado e honesto sobre o que resta validar pelo seu advogado ou pelo seu DPO

📝

Relatório de AIPD estruturado

O documento completo seguindo o artigo 35.7 (a a d), com uma conclusão fundamentada.

  • Descrição sistemática do tratamento
  • Análise de necessidade e proporcionalidade
  • Tabela de riscos (gravidade/probabilidade/medidas)
  • Conclusão e justificação documentada (art. 5.2)

Grelha de determinação

A análise prévia que decide se o seu tratamento entra no âmbito da obrigação.

  • Os 3 casos do artigo 35.3
  • Os 9 critérios do CEPD (WP248 rev.01)
  • Confronto com as listas da CNIL
  • Conclusão fundamentada e sourceada
📁

Coerência com o registo art. 30

A AIPD assenta na mesma base que o seu registo das atividades de tratamento.

  • Finalidades e bases legais
  • Categorias de dados e de pessoas
  • Destinatários e subcontratantes
  • Prazos de conservação por categoria
🚩

Pontos a validar pelo seu advogado/DPO

Cada ponto de incerteza é sinalizado explicitamente, nunca decidido no seu lugar.

  • Qualificação responsável / subcontratante
  • Bases legais por finalidade
  • Transferências fora da UE identificadas
  • Designação de um DPO (art. 37), se aplicável
🔗

Fontes e rastreabilidade

Cada afirmação jurídica é sourceada, não afirmada de memória.

  • Texto consolidado do RGPD (CELEX 32016R0679)
  • Páginas e listas da CNIL (AIPD, registo)
  • Orientações do CEPD (WP248 rev.01)
  • URL verificáveis citados no documento
📄

Documento editável

Entregue num formato editável, reutilizável pelo seu DPO ou pelo seu advogado.

  • Estrutura conforme ao artigo 35.7
  • Reutilizável para os seus futuros tratamentos
  • Pronto a ser completado antes da validação final
  • Nenhuma formatação fixa imposta

Referências utilizadas

Um método que se apoia nos textos e nas autoridades, não em interpretações próprias

35

RGPD - Artigo 35

Avaliação de impacto sobre a proteção de dados. Texto consolidado do Regulamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

CEPD

Orientações WP248 rev.01

Os 9 critérios de risco elevado do CEPD (ex-G29), retomados pela CNIL como método de referência para determinar a obrigação de AIPD.

CNIL

Listas e método da CNIL (autoridade francesa)

Listas dos tratamentos para os quais a AIPD é exigida ou não exigida, e método da CNIL para a condução de uma avaliação de impacto.

30

RGPD - Artigo 30

Registo das atividades de tratamento: a base de coerência (finalidades, dados, prazos) sobre a qual assenta qualquer AIPD.

Uma AIPD à medida, sem preços ocultos

O âmbito depende do número de tratamentos, da sua complexidade e do que já está documentado na sua organização. Orçamento estabelecido após uma primeira conversa.

Determinação de obrigação

Não sabe se o seu tratamento está abrangido

Sob orçamento
consoante o número de tratamentos a analisar
  • Grelha dos 9 critérios do CEPD
  • Confronto com o artigo 35.3
  • Verificação das listas da CNIL
  • Conclusão fundamentada e sourceada
Pedir orçamento

Programa plurianual

Vários tratamentos de risco a cobrir

Sob orçamento
consoante o número de tratamentos e o ritmo de reexame
  • Tudo de AIPD completa +
  • Quadro metodológico comum
  • Reexame periódico (art. 35.11)
  • Coerência mantida com o registo (art. 30)
Pedir orçamento

Uma AIPD nunca é definitiva

O artigo 35.11 do RGPD impõe reexaminar a análise em caso de evolução significativa do tratamento (novo subcontratante, mudança de alojamento, extensão do âmbito de recolha). Um orçamento de reexame é estabelecido caso a caso.

Perguntas frequentes

O meu tratamento está mesmo sujeito à obrigação de AIPD?
Isso depende de três elementos verificados metodicamente: os 3 casos do artigo 35.3 do RGPD, a grelha dos 9 critérios do CEPD (orientações WP248 rev.01, retomadas pela CNIL: assim que 2 critérios em 9 sejam cumpridos, uma AIPD deve em princípio ser realizada), e as listas da CNIL dos tratamentos exigidos ou não exigidos. O documento entregue decide esta questão e justifica-a, ponto por ponto.
O que contém exatamente o documento entregue?
Um documento estruturado segundo o artigo 35.7 do RGPD: descrição sistemática do tratamento (a), análise de necessidade e de proporcionalidade (b), avaliação dos riscos para as pessoas em causa (c), medidas técnicas e organizativas previstas (d), seguida de uma conclusão fundamentada. Cada referência legal é sourceada (texto consolidado do RGPD, CNIL, CEPD).
E se o meu tratamento afinal não estiver sujeito à obrigação de AIPD?
O documento é mantido a título voluntário e documental: constitui a justificação da sua decisão de não conduzir uma AIPD formal, ao abrigo do princípio de responsabilização (art. 5.2 do RGPD), mobilizável em caso de fiscalização pela CNIL.
Este documento substitui o parecer do meu advogado ou do meu DPO?
Não. DPIA-Express é uma ferramenta de apoio metodológico que estrutura e documenta a análise; não constitui um parecer jurídico. Cada documento entregue lista explicitamente os pontos que restam validar pelo seu advogado ou pelo seu Delegado de Proteção de Dados antes de qualquer uso oponível.
Quem deve realizar a AIPD na minha organização?
O responsável pelo tratamento continua juridicamente responsável pela AIPD; o DPO, quando existe, deve ser consultado (art. 35.2 do RGPD). DPIA-Express prepara a matéria (descrição, riscos, medidas) para que esta consulta se faça sobre um processo já estruturado, e não sobre uma página em branco.
Por que passar pela SYAGA em vez de o fazer inteiramente internamente?
A SYAGA Consulting existe desde 2009 e aplica este mesmo método aos seus próprios tratamentos, incluindo ao seu próprio produto de auditoria Microsoft 365, cuja análise da obrigação de AIPD segue exatamente esta estrutura. Não entregamos um modelo genérico: cada documento é construído tratamento a tratamento, artigo por artigo.

Pronto para documentar a sua AIPD?

Descreva-nos o seu tratamento, entraremos em contacto com um orçamento personalizado.

Vigilância regulamentar - fontes oficiais

O que o texto diz realmente, resumido em linguagem simples. Cada ponto mantém a sua ligação para o documento oficial.

📋

O que é uma AIPD, em termos claros?

Uma AIPD é simplesmente um trabalho de avaliação: analisam-se os riscos que um tratamento de dados impõe às pessoas, antes de o implementar. A CNIL define-a como "um processo formal que permite avaliar os riscos ligados ao tratamento de dados pessoais". Não é mais uma formalidade administrativa, é uma ferramenta de bom senso tornada obrigatória pelo RGPD em determinados casos. Fonte: CNIL (autoridade francesa) →

🎯

Quem está realmente abrangido: a regra dos «2 critérios em 9»

Não é preciso ser uma grande empresa para estar abrangido. A CNIL considera que uma AIPD é obrigatória assim que um tratamento cumpra pelo menos duas destas nove situações: classificar ou avaliar pessoas, tomar uma decisão automatizada com efeito real sobre elas, vigiá-las de forma sistemática, recolher dados sensíveis (saúde, origem, etc.), recolher em grande escala, cruzar várias bases de dados, visar pessoas vulneráveis (trabalhadores, doentes, menores...), utilizar uma tecnologia nova, ou privar alguém de um direito ou de um serviço. Fonte: CNIL (autoridade francesa) →

Duas listas da CNIL que respondem muitas vezes no seu lugar

Para evitar adivinhar, a CNIL publicou duas listas oficiais: uma lista de 14 tipos de tratamentos onde a AIPD é obrigatória (dados de saúde, perfilamento de RH, vigilância de trabalhadores, geolocalização em grande escala...), e uma lista de 12 tipos onde não é exigida (folha de pagamento e gestão de pessoal com menos de 250 trabalhadores sem perfilamento, gestão de fornecedores, processo de doente de um profissional de saúde isolado...). Estas listas não cobrem todos os casos, mas já respondem a muitas situações correntes. Fonte: lista da CNIL dos tratamentos exigidos →

🧩

O que a análise deve realmente conter

O RGPD (artigo 35) não pede um romance, mas quatro componentes precisos: descrever o tratamento e o seu objetivo, verificar que é realmente necessário e proporcionado, avaliar os riscos para as pessoas em causa, e depois listar as medidas previstas para reduzir esses riscos. Uma conclusão clara no final: o tratamento é aceitável, e em que condições. Fonte: RGPD, artigo 35 →

👤

O papel do seu DPO (se tiver um)

Se a sua organização designou um Encarregado da Proteção de Dados, o RGPD impõe que lhe seja pedido conselho no momento de conduzir a AIPD, e que este seja incumbido de verificar que a análise foi bem realizada. É uma salvaguarda, não uma casa a assinalar: o DPO continua a ser o reflexo correto antes de validar uma conclusão. Fonte: RGPD, artigos 35 e 39 →

E se o risco continuar elevado após a análise?

Se, apesar das medidas previstas, o tratamento apresentar ainda um risco elevado para as pessoas, o RGPD impõe consultar a CNIL antes de começar. Esta dispõe então de oito semanas para dar o seu parecer escrito (prorrogável por seis semanas se o processo for complexo). Tranquilizador saber: este caso continua a ser a exceção, não a regra. Fonte: RGPD, artigo 36 →

💰

As sanções, sem dramatizar

A CNIL recorda que as coimas do RGPD podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o montante mais elevado. É um teto legal, não uma fatalidade: uma AIPD bem conduzida é precisamente o que permite demonstrar, em caso de fiscalização, que a questão foi levada a sério. Fonte: CNIL (autoridade francesa) →

📢

Uma novidade europeia a seguir

O Comité Europeu para a Proteção de Dados (CEPD/EDPB) colocou em consulta pública, de 14 de abril a 9 de junho de 2026, um projeto de modelo único de AIPD destinado a harmonizar as práticas entre países europeus. A consulta está agora encerrada; acompanhamos o seguimento dado a este projeto para informar os nossos clientes no momento oportuno. Fonte: EDPB →