PILAR 2 · METODOLOGIA AIPD
AIPD — Avaliação de Impacto sobre a Proteção de Dados
Avaliação obrigatória dos riscos para os direitos e liberdades dos titulares em tratamentos de dados de saúde em larga escala — Art. 35.º RGPD.
Quando é obrigatória
O Art. 35.º RGPD torna a AIPD obrigatória sempre que o tratamento envolva risco elevado para os direitos e liberdades dos titulares. O n.º 3 estabelece presunções automáticas — entre as quais o tratamento em larga escala de categorias especiais de dados (Art. 9.º RGPD), que cobre a generalidade da investigação clínica.
Estrutura mínima da AIPD
O n.º 7 do Art. 35.º exige que a AIPD contenha pelo menos:
- Descrição sistemática das operações de tratamento e respectivas finalidades;
- Avaliação da necessidade e proporcionalidade face às finalidades;
- Avaliação dos riscos para os direitos e liberdades dos titulares;
- Medidas previstas para fazer face aos riscos e demonstrar a conformidade.
Metodologia proprietária
A nossa metodologia AIPD para investigação clínica integra:
- Mapeamento de dados — categorias, fontes, fluxos, destinatários, prazos;
- Análise de risco — matriz probabilidade × impacto por tipo de risco (perda de confidencialidade, integridade, disponibilidade);
- Medidas mitigadoras — técnicas (cifragem, pseudonimização, controlos de acesso) e organizativas (formação, POPs, governance);
- Risco residual — avaliação após implementação das medidas;
- Consulta prévia à CNPD se risco residual elevado (Art. 36.º RGPD);
- Documentação completa em formato exportável para o processo CEIC/INFARMED e CTIS.
Templates diferenciados
Disponibilizamos templates AIPD diferenciados por tipologia de estudo:
- Ensaio clínico interventivo Fase I-IV;
- Estudo observacional;
- Estudo retrospectivo com dados de arquivo;
- Estudo com dispositivos médicos;
- Estudo com biobancos e materiais biológicos.
Doutrina aplicável
A Deliberação CNPD n.º 1704/2015 mantém-se referência, embora anterior ao RGPD. As WP248 do antigo Grupo de Trabalho do Art. 29.º sobre AIPD são adoptadas pelo CEPD. O Regulamento CNPD n.º 798/2018 tipifica situações de obrigatoriedade.
Necessita de apoio nesta matéria?
O Clinical Data Protection Officer assegura a aplicação especializada desta sub-área à investigação clínica.