O essencial
- Uma avaliação de impacto sobre a privacidade (em inglês Privacy Impact Assessment, PIA) é uma análise estruturada do modo como um sistema recolhe, utiliza, conserva e partilha dados pessoais, realizada antes da entrada em funcionamento para detetar os riscos a tempo.
- O termo nasce no direito federal norte-americano (a E-Government Act de 2002) e, no setor privado, designa muitas vezes uma prática interna e voluntária.
- Um PIA não equivale à avaliação de impacto sobre a proteção de dados (AIPD), obrigatória para os tratamentos de risco elevado nos termos do artigo 35.º do RGPD.
- O Regulamento europeu da IA acrescenta uma terceira avaliação, a de impacto sobre os direitos fundamentais (AIDF), exigida a determinados responsáveis pela implementação de sistemas de IA de risco elevado a partir de 2 de agosto de 2026.
- Um mesmo sistema de IA de risco elevado pode exigir, em simultâneo, uma AIPD e uma AIDF. A AIDF complementa a AIPD, não a substitui.
O que significa uma avaliação de impacto sobre a privacidade
Segundo a definição do Instituto Nacional de Normas e Tecnologia (NIST) dos Estados Unidos, uma avaliação de impacto sobre a privacidade é uma análise do modo como a informação é tratada para garantir a conformidade com os requisitos legais, regulamentares e de política aplicáveis em matéria de privacidade, bem como para determinar os seus riscos e efeitos. A noção remonta à E-Government Act de 2002, cujo título II, secção 208, obrigava as agências federais norte-americanas a realizar um PIA antes de construir ou adquirir qualquer sistema que tratasse dados pessoais.
Para além da linguagem jurídica, o objetivo é simples. Um PIA coloca uma pergunta antes do arranque de um projeto: onde poderia este sistema pôr em risco os dados pessoais das pessoas e o que convém alterar agora para o evitar. Mapeia como os dados entram num sistema, por onde circulam, quem os pode consultar e de que forma são, por fim, eliminados. O resultado é um inventário documentado dos riscos e das medidas adotadas para os reduzir.
Uma nuance escapa muitas vezes ao leitor. No setor público norte-americano, o PIA é uma obrigação legal. No setor privado, é, na maioria dos casos, um instrumento interno de boa prática, sem um fundamento normativo único, pelo que uma organização pode realizar um PIA de forma voluntária e continuar obrigada a outra avaliação, esta de caráter vinculativo, para o mesmo projeto. É precisamente nesse espaço que se inscrevem as duas avaliações seguintes, ali onde o trabalho de privacidade se cruza com a governação da IA.
PIA, AIPD e AIDF: três avaliações, uma pergunta
PIA, AIPD e AIDF são usados de forma intercambiável nas conversas sobre privacidade, e esse hábito sai cada vez mais caro. As três avaliações partilham um fim, proteger as pessoas dos prejuízos ligados ao tratamento dos seus dados e dos seus direitos, mas assentam em bases jurídicas distintas e ativam-se em situações diferentes.
A avaliação de impacto sobre a privacidade é o termo amplo e original. Abrange qualquer análise estruturada do risco para a privacidade e está enraizada sobretudo na prática federal norte-americana.
A avaliação de impacto sobre a proteção de dados é mais restrita e mais vinculativa. Nos termos do artigo 35.º do RGPD, uma AIPD é obrigatória sempre que um tratamento seja suscetível de implicar um risco elevado para os direitos e liberdades das pessoas singulares. Tem de conter uma descrição sistemática do tratamento, uma avaliação da sua necessidade e proporcionalidade, uma estimativa dos riscos e as medidas previstas para lhes dar resposta.
A avaliação de impacto sobre os direitos fundamentais é o pilar mais recente. Introduzida pelo artigo 27.º do Regulamento da IA, a AIDF é exigida a determinados responsáveis pela implementação de sistemas de IA de risco elevado e centra-se nas pessoas afetadas: se o sistema as trata de forma equitativa, se cria uma desvantagem sistemática e se quem sofre as suas decisões as pode contestar de forma efetiva.
| Avaliação | Base jurídica | Ativada por | Quem a realiza | Resultado |
|---|---|---|---|---|
| PIA | E-Government Act 2002 (EUA); política interna noutros casos | Qualquer sistema novo que trate dados pessoais | Agências federais dos EUA; a título voluntário, empresas privadas | Riscos para a privacidade documentados e medidas de redução |
| AIPD | Artigo 35.º do RGPD (UE) | Tratamento com provável risco elevado para direitos e liberdades | Responsáveis pelo tratamento | Estimativa de riscos e medidas de mitigação |
| AIDF | Artigo 27.º do Regulamento da IA | Uso de determinados sistemas de IA de risco elevado | Responsáveis pela implementação de IA de risco elevado | Avaliação de riscos para os direitos fundamentais, notificada à autoridade |
Quando cada avaliação é obrigatória
Quando é exigido um PIA
Nos Estados Unidos, a E-Government Act de 2002 obriga as agências federais a realizar um PIA antes de desenvolver ou adquirir sistemas informáticos que tratem dados pessoais. As leis setoriais acrescentam os seus próprios fatores: a Health Insurance Portability and Accountability Act (HIPAA) rege os exames de privacidade no setor da saúde, e várias leis estaduais, entre elas a California Privacy Rights Act, exigem avaliações antes de certos tratamentos de dados de consumidores. Fora destes regimes, o PIA permanece facultativo, embora continue a ser uma peça sólida de qualquer atividade de gestão de risco.
Quando é exigida uma AIPD
No âmbito do RGPD, a AIPD deixa de ser opcional assim que um tratamento possa implicar um risco elevado. As autoridades de controlo consideram fatores claros o tratamento em grande escala de dados sensíveis, a observação sistemática de espaços públicos e a definição sistemática de perfis com efeitos jurídicos ou de impacto semelhante. Muitos sistemas de decisão automatizada enquadram-se diretamente nessa categoria, o que constitui a primeira razão pela qual as avaliações sobre a IA e sobre a privacidade começaram a sobrepor-se.
Quando é exigida uma AIDF
O artigo 27.º abrange um conjunto definido de responsáveis pela implementação de sistemas de IA de risco elevado: os organismos de direito público, os operadores privados que prestam serviços públicos e os responsáveis que utilizam sistemas de risco elevado para a avaliação da solvabilidade ou para a avaliação do risco e a fixação de preços nos seguros de vida e de saúde. A obrigação aplica-se a partir de 2 de agosto de 2026. O responsável pela implementação deve realizar a avaliação antes da primeira utilização, mantê-la atualizada à medida que as condições mudam e notificar o resultado à autoridade de fiscalização do mercado através do modelo oficial.
Como uma avaliação de privacidade se liga à governação da IA
Eis o que as definições habituais omitem: no momento em que dados pessoais atravessam um sistema de IA, um único projeto pode ativar várias avaliações ao mesmo tempo. Um sistema de IA de risco elevado que define perfis de pessoas exigirá muitas vezes uma AIPD, porque trata dados pessoais com risco elevado, e uma AIDF, porque é uma utilização de IA de risco elevado abrangida pelo artigo 27.º.
As duas não constituem uma duplicação, e uma não anula a outra. As orientações da Comissão Europeia sobre o Regulamento da IA são explícitas: a AIDF não substitui a avaliação de impacto sobre a proteção de dados que os responsáveis pelo tratamento têm de realizar ao abrigo da legislação de proteção de dados. O artigo 27.º, n.º 4, formula a relação do mesmo modo: quando uma AIPD já cobre parte do que a AIDF exige, a avaliação sobre os direitos fundamentais complementa a AIPD em vez de a absorver. Uma AIPD pergunta se está a proteger os dados pessoais. Uma AIDF coloca uma questão mais ampla: se o sistema é equitativo para com as pessoas que afeta e se estas podem contestar as suas decisões.
O âmbito pode alargar-se ainda mais. A metodologia HUDERIA do Conselho da Europa avalia a incidência de um sistema de IA sobre os direitos humanos, a democracia e o Estado de direito, uma perspetiva que ultrapassa a mera privacidade até abranger a discriminação, o acesso à justiça e a equidade processual. Para as organizações fora da UE, ou para quem procura um método único e defensável, oferece uma forma estruturada de pensar o impacto ao nível dos direitos.
A consequência é sobretudo organizacional. O responsável pela privacidade que antes detinha o PIA e o responsável pela governação da IA que agora detém a AIDF examinam o mesmo sistema sob dois ângulos. Conduzir essas revisões em folhas de cálculo separadas abre a porta a lacunas e contradições. É por isso que os responsáveis pela implementação de IA em ambientes regulados governam cada vez mais as suas avaliações de proteção de dados e de direitos fundamentais numa única plataforma de governação da IA, para que provas, riscos e medidas se mantenham coerentes face a ambas as obrigações.
Como realizar uma avaliação de impacto sobre a privacidade, passo a passo
O método seguinte serve para um PIA clássico e estende-se sem atritos aos sistemas de IA.
- Delimitar o âmbito. Descrever o projeto, as categorias de dados pessoais envolvidas e as fronteiras da avaliação. Para um sistema de IA, acrescentar o modelo, os seus dados de treino e as decisões que automatiza.
- Mapear os fluxos de dados. Acompanhar por onde entram os dados pessoais, onde são armazenados, como se movem e quem lhes acede, incluindo terceiros e fornecedores.
- Verificar exatidão e acessos. Esclarecer como os dados são mantidos atualizados, durante quanto tempo são conservados e que pessoas ou ferramentas os podem alcançar.
- Estimar os riscos. Ponderar a sensibilidade dos dados e a probabilidade e gravidade do dano. Para a IA, acrescentar os grupos de pessoas afetados e os riscos concretos de resultados injustos ou lesivos.
- Aplicar medidas. Reduzir a recolha, apertar os prazos de conservação, restringir as transferências e prever uma supervisão humana sobre as decisões automatizadas.
- Documentar o resultado. Registar os riscos residuais e as medidas adotadas. Numa AIDF, essa documentação é também o que se notifica à autoridade de fiscalização do mercado.
- Rever a intervalos regulares. Repetir a avaliação quando o sistema, os dados ou a lei mudam. Os sistemas de IA derivam ao longo do tempo, pelo que a revisão periódica não é facultativa.
Um conselho útil de coordenação: executar estes passos uma só vez e etiquetar cada constatação consoante a obrigação que satisfaz, para que um único fluxo alimente um PIA, uma AIPD e uma AIDF em vez de três esforços desligados. É o modelo que uma plataforma de governação dedicada foi concebida para sustentar.
Perguntas frequentes
Qual é o objetivo de uma avaliação de impacto sobre a privacidade? O objetivo é identificar e reduzir o risco para a privacidade antes de um sistema que trata dados pessoais entrar em funcionamento. A avaliação documenta como os dados são recolhidos, usados, conservados, partilhados e eliminados, assinala os pontos em que as pessoas poderiam ser prejudicadas e regista as medidas adotadas para o impedir. É um controlo preventivo, não um relatório posterior a um incidente.
Uma avaliação de impacto sobre a privacidade é obrigatória por lei? Depende de quem é e de onde opera. As agências federais norte-americanas têm de realizar um PIA ao abrigo da E-Government Act de 2002, e leis como a HIPAA ou várias leis estaduais impõem obrigações próprias. No setor privado fora desses regimes, o PIA é muitas vezes voluntário, mas uma avaliação obrigatória afim, uma AIPD do RGPD ou uma AIDF do Regulamento da IA, pode aplicar-se ao mesmo projeto.
Qual é a diferença entre um PIA e uma AIPD? O PIA é o termo amplo para qualquer análise estruturada da privacidade, enraizado na prática federal norte-americana, onde funciona muitas vezes como instrumento interno. A AIPD é uma obrigação jurídica concreta nos termos do artigo 35.º do RGPD, vinculativa quando um tratamento apresenta um risco elevado para os direitos e liberdades, com um conteúdo prescrito. Em suma, toda a AIPD é uma avaliação de privacidade, mas nem todo o PIA atinge o limiar jurídico de uma AIPD.
Quando deve ser realizado um PIA? Um PIA deve ser realizado antes do arranque de um novo sistema ou processo que trate dados pessoais, e de novo sempre que uma alteração relevante modifique a forma como esses dados são recolhidos ou usados. O ponto está na antecipação: a avaliação visa moldar o sistema já na fase de conceção, antes de os riscos ficarem incorporados, e não constatá-los depois.
Um sistema de IA precisa de uma AIDF e de uma AIPD? Muitas vezes, sim. Um sistema de IA de risco elevado que trata dados pessoais pode exigir, em simultâneo, uma AIPD ao abrigo do RGPD e uma AIDF ao abrigo do artigo 27.º do Regulamento da IA. As duas sobrepõem-se, mas não são intercambiáveis: a AIDF complementa a AIPD e acrescenta a perspetiva dos direitos fundamentais. Os responsáveis pela implementação abrangidos devem planear ambas, em vez de supor que uma basta.
O que é uma avaliação de impacto sobre os direitos fundamentais? Uma avaliação de impacto sobre os direitos fundamentais (AIDF) é um exame prévio à implementação, exigido a determinados responsáveis pela implementação de sistemas de IA de risco elevado pelo Regulamento europeu da IA. Descreve onde e como o sistema será utilizado, as pessoas e grupos afetados, os riscos concretos de dano, a supervisão humana prevista e as medidas a tomar se os riscos se concretizarem. O resultado é notificado à autoridade de fiscalização do mercado, e a obrigação aplica-se a partir de 2 de agosto de 2026.
Conclusão
O significado de uma avaliação de impacto sobre a privacidade ultrapassou a sua definição original. Nasceu como um controlo federal norte-americano sobre o modo como as agências tratam os dados pessoais, e assim permanece. Mas, para qualquer organização que implementa IA, o termo encabeça agora uma família de avaliações: o PIA, a AIPD juridicamente vinculativa e a nova avaliação de impacto sobre os direitos fundamentais do Regulamento da IA. Confundi-las é abrir lacunas de conformidade. Transformá-las num fluxo de trabalho coordenado é fechá-las. Governe as suas avaliações de proteção de dados e de direitos fundamentais sobre o mesmo sistema de IA de risco elevado, num só lugar, com AI Sigil.