A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis» (artigo 24.º, n.º 1).

A avaliação de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de violação de privacidade face à sua natureza ou âmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos à reputação que podem acompanhar uma violação das leis e regulamentos de proteção de dados pessoais.

Aqui destaco a importância da obrigação recair sobre os responsáveis pelo tratamento, de realizarem uma AIPD, não sendo a mesma da responsabilidade do Encarregado da Proteção de Dados (EPD/DPO).

Uma única AIPD pode ser utilizada para avaliar múltiplas operações de tratamento que sejam semelhantes em termos de natureza, âmbito, contexto, finalidade e riscos e uma AIPD também pode ser útil para avaliar o impacto na proteção de dados de um produto tecnológico, como por exemplo um programa informático gestão de RH, tanto na fase de desenvolvimento como na fase de implementação.

Uma vez que a realização da AIPD implica a avaliação do impacto das operações de tratamento, tem também a vantagem de promover implicitamente o cumprimento do Código de Conduta estipulado no art.º 40 do RGPD.