Orientações em matéria de proteção de dados - Pergunta 6
Quando e como efetuar uma avaliação de impacto da proteção de dados?
Aplicável no segundo cenário, salvo no que diz respeito à utilização do serviço de intercâmbio de ficheiros da Comissão
Na qualidade de representante, deve efetuar uma avaliação de impacto da proteção de dados (AIPD) sempre que o tratamento dos dados puder implicar um elevado risco para os direitos e liberdades das pessoas singulares, nomeadamente em caso de tratamento de dados sensíveis em grande escala.
Deve ter em conta as orientações relativas à avaliação de impacto da proteção de dados (AIPD) do Comité Europeu para a Proteção de Dados (CEPD), e verificar igualmente se a autoridade nacional competente em matéria de proteção de dados do seu país emitiu orientações adicionais sobre quando e como efetuar este tipo de avaliações de impacto.
A avaliação de impacto da proteção de dados deve ser realizada antes do tratamento, devendo ser considerada um instrumento em evolução e não apenas um exercício pontual. Caso existam riscos residuais que não possam ser atenuados pelas medidas adotadas, deve ser consultada a autoridade nacional competente em matéria de proteção de dados antes de se iniciar o tratamento.
IMPORTANTE:
Se o tratamento dos dados for efetuado ao abrigo de um acordo de partilha de responsabilidade com a Comissão não precisa de realizar a avaliação de impacto da proteção de dados, uma vez que esse tratamento já está abrangido pela avaliação de impacto da proteção de dados realizada pela Comissão (ver primeiro cenário).
Referências:
- Artigo 35.° do RGPD.
- Artigo 36.° do RPDUE.
- Orientações relativas à avaliação de impacto da proteção de dados do Comité Europeu para a Proteção de Dados