Critérios para Obrigatoriedade de uma AIPD e suas Exceções
é obrigatória em certos casos de processamento de dados pessoais nova tecnologia e ou que
podem resultar em um risco elevado aos direitos e liberdades das pessoas físicas.
Em caso DA obrigatoriedade de REALIZAR uma AIPD são:
Avaliação sistemática e completa dos aspectos pessoais, baseada no tratamento
automatizado, incluindo a definição de perfis, sendo com base nela adotadas
decisões que produzem efeitos jurídicos relativamente à pessoa física ou que a
afetem significativamente de forma similar.
Operações de tratamento em grande escala de categorias especiais de dados a que
se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações
penais e infrações a que se refere o artigo 10º.
Controle sistemático de zonas acessíveis ao público em grande escala. (câmeras área
pública)
Autoridade de controle pode listar tipos de operações que estão sujeitos avaliação de impacto
AIPD
Exemplos:
1. **Crédito e Financiamento**: Decisões automatizadas sobre a concessão de crédito, onde o
sistema avalia o perfil de crédito do solicitante com base em dados pessoais. Um resultado negativo
pode impedir a pessoa de obter empréstimos.
2. **Contratação de Emprego**: Processos automatizados que filtram currículos com base em dados
pessoais e histórico profissional, resultando na exclusão de candidatos antes mesmo de uma análise
humana.
3. **Seguros**: Definições de prêmios ou aprovações de apólices com base em dados pessoais, onde
um algoritmo pode aumentar o custo do seguro ou negar cobertura com base em perfis de risco.
4. **Vigilância e Monitoramento**: Sistemas que analisam dados pessoais e comportamentais para
monitorar atividades de um indivíduo, podendo levar a ações legais ou sanções.
5. **Recomendações Personalizadas**: Algoritmos que personalizam ofertas e recomendações
(como em plataformas de streaming ou e-commerce), que podem impactar o acesso a produtos ou
serviços.
6. **Assistência Pública**: Avaliações automatizadas que determinam a elegibilidade para
programas sociais ou benefícios, onde um erro na análise pode afetar o acesso a assistência
necessária.
7. **Decisões em Justiça**: Uso de sistemas de inteligência artificial que auxiliam em sentenças
judiciais, onde a análise de dados pode influenciar resultados que afetam a liberdade ou direitos de
uma pessoa.
Esses exemplos ilustram como o tratamento automatizado de dados pessoais pode impactar
diretamente a vida das pessoas, justificando a necessidade de uma AIPD.
No entanto, os exemplos fornecidos de quando uma AIPD não precisa ser conduzida sugerem que a
AIPD pode ser dispensada em casos de processamento de dados que não sejam considerados
de alto risco.
Caso 1: Uma revista online usando uma lista de discussão para enviar um resumo diário
genérico para seus assinantes.
� Caso 2: Um site de comércio eletrônico que exibe anúncios de peças de carros antigos
envolvendo perfil limitado com base no comportamento de compras anteriores em
determinadas partes do site.
É importante destacar que a realização de uma AIPD é um processo contínuo, e não um exercício
único, o que significa que deve ser atualizada e revisada periodicamente para garantir a conformidade
com os requisitos legais e as melhores práticas de privacidade.
Aqui estão os critérios que devem ser considerados ao conduzir uma Avaliação de Impacto sobre a
Proteção de Dados (AIPD):
Avaliação ou pontuação: Uma AIPD deve ser conduzida se o processamento de dados envolve
avaliação ou pontuação de indivíduos, especialmente se for usada para tomar decisões
automatizadas que podem ter um impacto significativo em suas vidas. Por exemplo, uma
empresa que usa um sistema automatizado para tomar decisões de crédito ou emprego com
base em dados pessoais deve conduzir uma AIPD.
Tomada de decisão automatizada com efeito legal ou similar significativo: Se o
processamento de dados envolve tomada de decisão automatizada que produz efeitos legais
para os indivíduos ou os afeta significativamente de forma semelhante, uma AIPD é necessária.
Isso inclui sistemas que tomam decisões automatizadas sobre elegibilidade para benefícios,
acesso a serviços ou oportunidades de emprego.
Monitoramento Sistemático: O monitoramento sistemático de indivíduos em grande escala
também requer uma AIPD. Isso inclui o uso de tecnologias de vigilância, como reconhecimento
facial ou rastreamento de localização, para monitorar os movimentos ou atividades de
indivíduos em locais públicos ou no local de trabalho.
Dados sensíveis: O processamento de dados sensíveis, como informações sobre origem racial
ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos,
dados biométricos, dados de saúde ou dados relacionados à vida sexual ou orientação sexual de
uma pessoa física exige uma AIPD. Esses dados são considerados particularmente sensíveis e
requerem maior proteção.
Dados processados em grande escala: Uma AIPD é necessária se a organização processa
dados pessoais em grande escala. Isso se aplica a organizações que processam grandes
volumes de dados pessoais, como empresas de mídia social, bancos e instituições de saúde.
Conjuntos de dados que foram correspondidos ou combinados: A correspondência ou
combinação de conjuntos de dados, especialmente se os dados vieram de diferentes fontes,
aumenta o risco de danos aos indivíduos, exigindo uma AIPD. Por exemplo, uma empresa que
combina dados de clientes de suas operações online e offline para criar perfis detalhados de
indivíduos deve conduzir uma AIPD.
Dados relativos a sujeitos de dados vulneráveis: O processamento de dados pessoais de
indivíduos considerados vulneráveis, como crianças, exige uma AIPD. Isso ocorre porque esses
indivíduos podem estar menos aptos a proteger seus próprios direitos e interesses. Patão e
enpregado. pacientes
Uso inovador ou aplicação de soluções tecnológicas ou organizacionais: O uso inovador
ou aplicação de novas tecnologias ou soluções organizacionais para processar dados pessoais,
especialmente se eles não foram usados anteriormente dessa forma, também requer uma AIPD.
Isso inclui o uso de inteligência artificial, aprendizado de máquina e outras tecnologias
emergentes.
Transferência de dados entre fronteiras fora da União Europeia: A transferência de
dados pessoais para países fora da União Europeia, onde as leis de proteção de dados podem
não ser tão rigorosas, exige uma AIPD para avaliar os riscos aos direitos e liberdades dos
indivíduos. O objetivo é garantir que os dados pessoais transferidos para países terceiros
recebam um nível adequado de proteção.
Quando o processamento em si “impede que os titulares de dados exerçam um
direito ou utilizem um serviço ou um contrato”: Uma AIPD também é necessária se o
processamento de dados em si impede que os indivíduos exerçam um direito ou utilizem um
serviço ou contrato. Isso inclui situações em que os indivíduos são forçados a consentir com o
processamento de seus dados pessoais para acessar um serviço ou produto.
Em resumo, uma AIPD é necessária sempre que o processamento de dados pessoais for suscetível de
resultar em um alto risco aos direitos e liberdades dos indivíduos. Os critérios acima devem ser usados
como um guia para determinar se uma AIPD é necessária em uma situação específica.
