A AIPD é obrigatória sempre que um tratamento de dados pessoais possa resultar num elevado risco para os direitos e liberdades dos titulares, conforme o artigo 35.º do Regulamento Geral sobre a Proteção de Dados (RGPD).
Quando o tratamento apresenta este nível de risco, a AIPD deve ser formalizada e incluir obrigatoriamente o parecer do Encarregado de Proteção de Dados (EPD).
Considera-se, em regra, que existe risco elevado quando estão presentes múltiplos fatores de risco com impacto significativo nos participantes. De forma mais concreta, a AIPD é obrigatória sempre que a investigação envolva um ou mais dos seguintes critérios conjugados:
• Avaliação sistemática e completa de aspetos pessoais dos participantes, baseada em tratamento automatizado (incluindo definição de perfis), que produza efeitos jurídicos ou impactos significativos sobre os indivíduos;
• Tratamento em grande escala de categorias especiais de dados (como dados de saúde, genéticos ou biométricos) ou de dados relacionados com infrações penais;
• Controlo sistemático de zonas acessíveis ao público, conjugado com o tratamento em grande escala;
• Situações previstas no Regulamento n.º 1/2018 da CNPD, que lista os tipos de tratamento de dados sujeitos obrigatoriamente a AIPD.
Nestes casos, a AIPD é uma etapa essencial para assegurar a conformidade legal e a proteção adequada dos titulares dos dados.