O RGPD impõe uma Avaliação de Impacto sobre a Proteção de Dados para qualquer tratamento suscetível de gerar um risco elevado para os direitos e liberdades das pessoas. A SYAGA DPIA-Express estrutura e documenta a sua AIPD segundo a metodologia do artigo 35 e as orientações do CEPD, sem improviso e sem jargão.
Determinar se o seu tratamento deve ser objeto de uma AIPD, e depois conduzi-la de acordo com as regras
Qualquer tratamento suscetível de gerar um risco elevado para os direitos e liberdades das pessoas singulares deve ser objeto de uma Avaliação de Impacto sobre a Proteção de Dados antes da sua implementação (RGPD, art. 35).
O CEPD (ex-G29, orientações WP248 rev.01) definiu 9 critérios de risco elevado. Assim que um tratamento cumpra pelo menos dois destes critérios, uma AIPD deve em princípio ser realizada: uma única peça mal identificada, e o processo fica incompleto.
A CNIL (autoridade francesa) publica listas de tratamentos para os quais a AIPD é exigida ou não exigida. Determinar exatamente onde se situa o seu tratamento exige uma leitura rigorosa, não uma impressão geral.
Conduzir uma AIPD demasiado depressa expõe-o à incompletude perante uma autoridade de controlo; não a conduzir quando é exigida expõe a organização a um incumprimento do artigo 35. O método da CNIL estrutura esta escolha e documenta-a.
A estrutura imposta pelo artigo 35.7 do RGPD, aplicada ao seu tratamento, com uma conclusão fundamentada em cada etapa
Análise face aos 3 casos do artigo 35.3, à grelha dos 9 critérios do CEPD (WP248 rev.01) e às listas da CNIL dos tratamentos exigidos ou não exigidos. Conclusão fundamentada, quer a AIPD seja finalmente obrigatória ou não.
Finalidades, categorias de dados e de pessoas em causa, destinatários, prazos de conservação: a cartografia completa exigida pelo artigo 35.7.a, coerente com o seu registo das atividades de tratamento (art. 30).
Verificação de que cada dado recolhido é necessário à finalidade prosseguida, de que a base legal (art. 6) está identificada para cada tratamento, e de que o princípio da minimização (art. 5.1.c) é respeitado.
Para cada risco identificado: gravidade, probabilidade, medidas já implementadas, risco residual, apresentado sob a forma de tabela utilizável pela sua direção ou pelo seu DPO.
Medidas técnicas e organizativas previstas (art. 32), conclusão fundamentada e justificação documentada ao abrigo da responsabilização (art. 5.2), mobilizável em caso de fiscalização pela CNIL.
Um documento estruturado, sourceado e honesto sobre o que resta validar pelo seu advogado ou pelo seu DPO
O documento completo seguindo o artigo 35.7 (a a d), com uma conclusão fundamentada.
A análise prévia que decide se o seu tratamento entra no âmbito da obrigação.
A AIPD assenta na mesma base que o seu registo das atividades de tratamento.
Cada ponto de incerteza é sinalizado explicitamente, nunca decidido no seu lugar.
Cada afirmação jurídica é sourceada, não afirmada de memória.
Entregue num formato editável, reutilizável pelo seu DPO ou pelo seu advogado.
Um método que se apoia nos textos e nas autoridades, não em interpretações próprias
Avaliação de impacto sobre a proteção de dados. Texto consolidado do Regulamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
Os 9 critérios de risco elevado do CEPD (ex-G29), retomados pela CNIL como método de referência para determinar a obrigação de AIPD.
Listas dos tratamentos para os quais a AIPD é exigida ou não exigida, e método da CNIL para a condução de uma avaliação de impacto.
Registo das atividades de tratamento: a base de coerência (finalidades, dados, prazos) sobre a qual assenta qualquer AIPD.
O âmbito depende do número de tratamentos, da sua complexidade e do que já está documentado na sua organização. Orçamento estabelecido após uma primeira conversa.
Não sabe se o seu tratamento está abrangido
Tratamento identificado como de risco elevado
Vários tratamentos de risco a cobrir
Uma AIPD nunca é definitiva
O artigo 35.11 do RGPD impõe reexaminar a análise em caso de evolução significativa do tratamento (novo subcontratante, mudança de alojamento, extensão do âmbito de recolha). Um orçamento de reexame é estabelecido caso a caso.
Descreva-nos o seu tratamento, entraremos em contacto com um orçamento personalizado.
O que o texto diz realmente, resumido em linguagem simples. Cada ponto mantém a sua ligação para o documento oficial.
Uma AIPD é simplesmente um trabalho de avaliação: analisam-se os riscos que um tratamento de dados impõe às pessoas, antes de o implementar. A CNIL define-a como "um processo formal que permite avaliar os riscos ligados ao tratamento de dados pessoais". Não é mais uma formalidade administrativa, é uma ferramenta de bom senso tornada obrigatória pelo RGPD em determinados casos. Fonte: CNIL (autoridade francesa) →
Não é preciso ser uma grande empresa para estar abrangido. A CNIL considera que uma AIPD é obrigatória assim que um tratamento cumpra pelo menos duas destas nove situações: classificar ou avaliar pessoas, tomar uma decisão automatizada com efeito real sobre elas, vigiá-las de forma sistemática, recolher dados sensíveis (saúde, origem, etc.), recolher em grande escala, cruzar várias bases de dados, visar pessoas vulneráveis (trabalhadores, doentes, menores...), utilizar uma tecnologia nova, ou privar alguém de um direito ou de um serviço. Fonte: CNIL (autoridade francesa) →
Para evitar adivinhar, a CNIL publicou duas listas oficiais: uma lista de 14 tipos de tratamentos onde a AIPD é obrigatória (dados de saúde, perfilamento de RH, vigilância de trabalhadores, geolocalização em grande escala...), e uma lista de 12 tipos onde não é exigida (folha de pagamento e gestão de pessoal com menos de 250 trabalhadores sem perfilamento, gestão de fornecedores, processo de doente de um profissional de saúde isolado...). Estas listas não cobrem todos os casos, mas já respondem a muitas situações correntes. Fonte: lista da CNIL dos tratamentos exigidos →
O RGPD (artigo 35) não pede um romance, mas quatro componentes precisos: descrever o tratamento e o seu objetivo, verificar que é realmente necessário e proporcionado, avaliar os riscos para as pessoas em causa, e depois listar as medidas previstas para reduzir esses riscos. Uma conclusão clara no final: o tratamento é aceitável, e em que condições. Fonte: RGPD, artigo 35 →
Se a sua organização designou um Encarregado da Proteção de Dados, o RGPD impõe que lhe seja pedido conselho no momento de conduzir a AIPD, e que este seja incumbido de verificar que a análise foi bem realizada. É uma salvaguarda, não uma casa a assinalar: o DPO continua a ser o reflexo correto antes de validar uma conclusão. Fonte: RGPD, artigos 35 e 39 →
Se, apesar das medidas previstas, o tratamento apresentar ainda um risco elevado para as pessoas, o RGPD impõe consultar a CNIL antes de começar. Esta dispõe então de oito semanas para dar o seu parecer escrito (prorrogável por seis semanas se o processo for complexo). Tranquilizador saber: este caso continua a ser a exceção, não a regra. Fonte: RGPD, artigo 36 →
A CNIL recorda que as coimas do RGPD podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial, consoante o montante mais elevado. É um teto legal, não uma fatalidade: uma AIPD bem conduzida é precisamente o que permite demonstrar, em caso de fiscalização, que a questão foi levada a sério. Fonte: CNIL (autoridade francesa) →
O Comité Europeu para a Proteção de Dados (CEPD/EDPB) colocou em consulta pública, de 14 de abril a 9 de junho de 2026, um projeto de modelo único de AIPD destinado a harmonizar as práticas entre países europeus. A consulta está agora encerrada; acompanhamos o seguimento dado a este projeto para informar os nossos clientes no momento oportuno. Fonte: EDPB →