NIS2 Portugal

0% personalizado
AVALIAÇÃO DE IMPACTO NA PROTEÇÃO DE DADOS
Data Protection Impact Assessment (DPIA) em conformidade com RGPD Artigo 35.º e NIS2
Organização:
[NOME DA ORGANIZAÇÃO]
Tratamento de Dados:
[DESCRIÇÃO DO TRATAMENTO]
Responsável pelo Tratamento:
[NOME DO RESPONSÁVEL]
Encarregado de Proteção de Dados:
[NOME DO DPO]
Data da Avaliação:
[DATA]
Versão:
[1.0]

Índice

  1. Informações Gerais do Tratamento
  2. Descrição Detalhada do Tratamento
  3. Necessidade e Proporcionalidade
  4. Consulta aos Titulares dos Dados
  5. Identificação de Riscos
  6. Medidas de Mitigação Previstas
  7. Avaliação de Riscos Residuais
  8. Consulta à Autoridade de Controlo
  9. Aprovação e Revisão
  10. Anexos e Documentação de Suporte
1.

Informações Gerais do Tratamento

Enquadramento Legal: RGPD Artigo 35.º - Avaliação de impacto sobre a proteção de dados. Esta avaliação é obrigatória quando o tratamento for suscetível de resultar em risco elevado para os direitos e liberdades das pessoas singulares.

1.1. Identificação do Tratamento

Nome do Tratamento: [NOME DO TRATAMENTO DE DADOS]

Finalidade Principal: [FINALIDADE DO TRATAMENTO]

Base Legal (Art. 6.º RGPD): [Consentimento / Contrato / Obrigação legal / Interesse vital / Interesse público / Interesse legítimo]

1.2. Responsáveis

Responsável pelo Tratamento:
[Nome, Morada, Contacto]

Encarregado de Proteção de Dados (DPO):
[Nome, Email, Telefone]

Subcontratantes (se aplicável):
[Listar subcontratantes e respetivas funções]

1.3. Data e Validade

Data de Realização: [DATA]

Próxima Revisão: [DATA - recomenda-se revisão anual]

Equipa de Avaliação: [Nomes e funções dos participantes]

2.

Descrição Detalhada do Tratamento

2.1. Natureza e Âmbito do Tratamento

Descrição Funcional:

[Descrever detalhadamente o que o tratamento faz, como funciona, quais os processos envolvidos]

Tecnologias Utilizadas:

  • [Sistema/aplicação 1]
  • [Sistema/aplicação 2]
  • [Sistema/aplicação 3]

2.2. Categorias de Dados Pessoais

Categoria de Dados Tipo de Dados Dados Sensíveis?
Dados de Identificação [Nome, NIF, BI/CC, etc.] [Sim/Não]
Dados de Contacto [Email, telefone, morada] [Sim/Não]
Dados Financeiros [IBAN, cartão, salário] [Sim/Não]
Dados de Saúde [Histórico médico, etc.] [Sim/Não - Art. 9º]
Dados de Localização [GPS, IP, etc.] [Sim/Não]

2.3. Categorias de Titulares dos Dados

  • Clientes: [Aprox. X pessoas]
  • Colaboradores: [Aprox. X pessoas]
  • Fornecedores: [Aprox. X pessoas]
  • Outros: [Especificar]

Volume Total Estimado: [X titulares de dados]

2.4. Destinatários dos Dados

Os dados podem ser comunicados a:

  • [Entidade 1 e finalidade]
  • [Entidade 2 e finalidade]
  • [Entidade 3 e finalidade]

Transferências Internacionais: [Sim/Não - Se sim, indicar países e garantias (adequação, cláusulas contratuais, etc.)]

2.5. Período de Conservação

Prazo de Conservação: [X anos após término da relação / Outro critério]

Justificação: [Base legal ou necessidade operacional]

Procedimentos de Eliminação: [Destruição segura, anonimização, etc.]

3.

Necessidade e Proporcionalidade

Princípios RGPD: Art. 5º - Licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade e confidencialidade.

3.1. Necessidade do Tratamento

O tratamento é necessário para alcançar a finalidade pretendida?
[Sim/Não - Justificar]

Existe outra forma menos intrusiva de alcançar o mesmo objetivo?
[Análise de alternativas consideradas]

3.2. Proporcionalidade

Os dados recolhidos são adequados, pertinentes e limitados ao necessário?
[Sim/Não - Explicar]

O período de conservação é proporcional?
[Sim/Não - Justificar]

As medidas de segurança são proporcionais aos riscos?
[Sim/Não - Detalhar]

3.3. Transparência

Os titulares são informados de forma clara e completa?
[Sim/Não - Indicar meios de informação]

Documentos de Informação disponíveis:

  • Política de Privacidade: [Sim/Não - Link/Localização]
  • Avisos de Privacidade: [Sim/Não - Link/Localização]
  • Formulários de Consentimento: [Sim/Não - Link/Localização]
4.

Consulta aos Titulares dos Dados

RGPD Art. 35º(9): Sempre que adequado, o responsável pelo tratamento deve obter o parecer dos titulares dos dados ou dos seus representantes sobre o tratamento previsto.

4.1. Processo de Consulta

Foram consultados os titulares dos dados?
[Sim/Não - Se não, justificar]

Método de Consulta:
[Inquérito, reunião, consulta pública, etc.]

Data da Consulta: [DATA]

4.2. Resultados da Consulta

Principais Preocupações Levantadas:
[Resumir principais preocupações dos titulares]

Medidas Tomadas em Resposta:
[Como foram endereçadas as preocupações]

4.3. Consulta ao Encarregado de Proteção de Dados

Parecer do DPO:
[Resumo do parecer emitido pelo DPO]

Data do Parecer: [DATA]

5.

Identificação de Riscos

Riscos para os Direitos e Liberdades: Identificar riscos de discriminação, usurpação de identidade, fraude, perdas financeiras, danos à reputação, perda de confidencialidade, entre outros.

Calculadora de Risco Integrada

Use esta calculadora para avaliar o nível de risco de cada ameaça identificada.

5.1. Tabela de Riscos Identificados

# Risco Identificado Probabilidade Impacto Nível de Risco
1 Acesso não autorizado a dados pessoais Alta Alto Alto
2 Perda ou destruição acidental de dados Média Alto Médio
3 Utilização indevida de dados por colaboradores Baixa Moderado Baixo
4 Violação de dados por ciberataque Média Crítico Crítico
5 Falha de subcontratante no tratamento de dados Baixa Alto Médio

Nota: Adicione mais linhas conforme necessário para registar todos os riscos identificados.

5.2. Riscos Específicos por Tipo

Riscos para Confidencialidade:

  • [Risco de divulgação não autorizada]
  • [Risco de intercetação de comunicações]

Riscos para Integridade:

  • [Risco de alteração não autorizada]
  • [Risco de corrupção de dados]

Riscos para Disponibilidade:

  • [Risco de perda de acesso aos dados]
  • [Risco de falha de sistemas]
6.

Medidas de Mitigação Previstas

RGPD Art. 32º: Segurança do tratamento - medidas técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco.

6.1. Checklist de Medidas RGPD

Marque as medidas que já estão implementadas ou que serão implementadas:

6.2. Medidas técnicas Detalhadas

Medida Técnica Descrição Estado Prazo
Encriptação AES-256 para dados em repouso, TLS 1.3 em trânsito Implementado -
Controlo de Acessos RBAC com MFA para acessos remotos Implementado -
Pseudonimização Técnicas de tokenização para dados sensíveis Em implementação Q2 2025
Monitorização SIEM para deteção de anomalias Planeado Q3 2025

6.3. Medidas organizacionais

  • Políticas e Procedimentos: [Listar políticas implementadas]
  • Formação: [Programa de formação anual em proteção de dados]
  • Segregação de Funções: [Separação entre quem processa e quem valida]
  • Auditorias: [Auditorias internas anuais]
  • Gestão de Incidentes: [Procedimentos de notificação e resposta]
7.

Avaliação de Riscos Residuais

7.1. Riscos Residuais após Medidas

Após implementação das medidas de mitigação, os seguintes riscos residuais permanecem:

Risco Original Medida Implementada Risco Residual Nível Residual
Acesso não autorizado MFA + RBAC + Logging Acesso por compromisso de credenciais Baixo
Perda de dados Backups 3-2-1 + Testes Perda entre última backup Baixo
Ciberataque Firewall + IDS/IPS + EDR Ataques zero-day Médio
Falha subcontratante Contratos + Auditorias Incumprimento contratual Baixo

7.2. Aceitação de Riscos Residuais

Os riscos residuais são aceitáveis?
[Sim/Não - Justificar]

Medidas adicionais a considerar:
[Listar medidas futuras a avaliar]

Responsável pela aceitação de riscos:
[Nome e cargo - deve ser órgão de gestão]

7.3. Conclusão da Avaliação de Riscos

Nível de risco global após medidas: [Baixo / Médio / Alto]

Recomendação final:
[Prosseguir / Prosseguir com monitorização / Implementar medidas adicionais / Consultar CNPD]

8.

Consulta à Autoridade de Controlo

RGPD Art. 36º: Consulta prévia obrigatória quando, apesar das medidas, o tratamento resulte em risco elevado para os direitos e liberdades das pessoas.

8.1. Necessidade de Consulta Prévia

É necessária consulta prévia à CNPD?
[Sim/Não - Justificar]

Critérios de avaliação:

  • O DPIA indica risco elevado? [Sim/Não]
  • As medidas são insuficientes para mitigar riscos? [Sim/Não]
  • Existe incerteza sobre conformidade legal? [Sim/Não]

8.2. Processo de Consulta (se aplicável)

Data de submissão à CNPD: [DATA]

Número de processo: [N.º PROCESSO]

Parecer da CNPD:
[Resumo do parecer recebido]

Data do parecer: [DATA]

8.3. Contactos CNPD

Comissão Nacional de Proteção de Dados
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa
Tel: +351 213 928 400
Email: geral@cnpd.pt
Web: www.cnpd.pt

9.

Aprovação e Revisão

9.1. Aprovação da AIPD

Aprovador: [Nome e cargo - deve ser responsável pelo tratamento ou órgão de gestão]

Data de aprovação: [DATA]

Assinatura: _________________________________

9.2. Validação pelo DPO

Encarregado de Proteção de Dados: [Nome]

Validação: [Validado / Validado com reservas / Não validado]

Observações:
[Comentários do DPO]

Data: [DATA]

9.3. Periodicidade de Revisão

Esta AIPD deve ser revista nas seguintes situações:

  • Revisão regular: Anualmente ou a cada [X] anos
  • Alteração significativa do tratamento
  • Mudanças na tecnologia utilizada
  • Alterações legislativas relevantes
  • Após incidentes de segurança significativos
  • Quando novos riscos são identificados

Próxima revisão agendada: [DATA]

9.4. Monitorização Contínua

Responsável pela monitorização: [Nome e cargo]

Indicadores a monitorizar:

  • [KPI 1 - ex: número de acessos não autorizados]
  • [KPI 2 - ex: tempo de resposta a pedidos de titulares]
  • [KPI 3 - ex: taxa de incidentes de segurança]

Frequência de reporte ao órgão de gestão: [Trimestral / Semestral / Anual]

10.

Anexos e Documentação de Suporte

10.1. Documentos Anexos

  • Anexo A: [Diagrama de fluxo de dados]
  • Anexo B: [Política de Privacidade]
  • Anexo C: [Contratos com subcontratantes]
  • Anexo D: [Resultados de consulta aos titulares]
  • Anexo E: [Pareceres técnicos]
  • Anexo F: [Certificações de segurança]

10.2. Referências Legais e Normativas

  • Regulamento (UE) 2016/679 (RGPD)
  • Lei n.º 58/2019 (Lei de Proteção de Dados)
  • Diretiva (UE) 2022/2555 (NIS2)
  • Orientações EDPB sobre DPIA
  • ISO/IEC 29134:2017 - Guidelines for privacy impact assessment
  • ISO/IEC 27001:2013 - Gestão de segurança da informação

10.3. Recursos adicionais

10.4. Histórico de Revisões

Versão Data Autor Alterações
1.0 [DATA] [AUTOR] Versão inicial

Este documento foi elaborado em conformidade com:

Regulamento (UE) 2016/679 - RGPD, Artigo 35.º
Diretiva (UE) 2022/2555 - NIS2
Lei n.º 58/2019 - Lei de Proteção de Dados
Orientações EDPB sobre Avaliação de Impacto na Proteção de Dados

Template disponibilizado por NIS2 Portugal - https://nis2portugal.pt
Este template deve ser personalizado de acordo com o contexto específico da sua organização.