A realização de uma avaliação de impacto sobre a proteção de dados (AIPD) é uma obrigação legal prevista no artigo 35.º do RGPD sempre que o tratamento de dados pessoais em causa assim o exigir, designadamente quando forem tratados em larga escala os dados pessoais previstos no artigo 9.º ou no artigo 10.º do RGPD; quando houver um controlo sistemático de zonas acessíveis ao público em larga escala (por exemplo, através de sistemas de videovigilância); quando forem feitas definições de perfis (profiling) e, subsequentemente, forem tomadas decisões automatizadas que afetem significativamente a pessoa singular.

É também obrigatória a realização de uma AIPD no âmbito do procedimento legislativo ou regulamentar, a qual deve ser remetida à CNPD a acompanhar o pedido de parecer sobre essas disposições em preparação pelo órgão com poder legiferante ou regulamentar (cf. artigo 18.º, n.º 4, da Lei 43/2004, na sua última redação).

É ainda obrigatória a realização de uma AIPD nas situações listadas no Regulamento 798/2018 da CNPD, de acordo com o n.º 4 do artigo 35.º do RGPD.

Quando a avaliação de impacto indicar que o tratamento de dados que se pretende efetuar, apesar das medidas mitigadoras a adotar, resulta ainda num elevado risco para os direitos e liberdades dos indivíduos, o responsável pelo tratamento submete o tratamento de dados em causa a consulta prévia da CNPD (cf. artigo 36.º do RGPD).

No domínio da prevenção, deteção e investigação criminal ou repressão de infrações penais, a AIPD deve também ser submetida a consulta prévia da CNPD, nas condições previstas no n.º 1 do artigo 30.º da Lei n.º 59/2019, de 8 de agosto.

Este requerimento de apreciação da avaliação de impacto está sujeito ao pagamento de uma taxa, nos termos do Regulamento 310/2020 da CNPD.

Pode consultar as Orientações do CEPD relativas às avaliações de impacto sobre a proteção de dados e que determinam se o tratamento é suscetível de resultar num elevado risco