O que é uma DPIA Internacional

Definição: DPIA Internacional vs AIPD Doméstica

Uma DPIA Internacional é uma avaliação estruturada de impacto sobre a protecção de dados que abrange múltiplas jurisdições, operações transfronteiriças e transferências internacionais.

Ao contrário de uma AIPD doméstica (limitada a Portugal ou UE), a DPIA Internacional:

Mapeia requisitos de múltiplas autoridades de supervisão (CNPD, CNIL, BfDI, ICO, Garante, AEPD, etc.)
Avalia transferências cross-border sob Art. 56.º GDPR (One-Stop-Shop) e Art. 6.º LGPD
Harmoniza marcos regulatórios conflituosos (GDPR, LGPD, PIPL, CCPA, AI Act, leis setoriais)
Assegura conformidade com decisões de adequação (EU-US DPF, UK, Japão, Coreia do Sul)
Coordena com DPOs, equipas jurídicas e compliance multi-jurisdição

Transferências Internacionais e DPIA

Schrems II e Transfer Impact Assessment são pilares da DPIA transfronteiriça moderna.

Schrems II (TJUE C-311/18)

A decisão Schrems II (julho 2020) anulou a decisão de adequação EU-US (Privacy Shield) e reconfigurou o panorama de transferências:

Cláusulas Contratuais Tipo (CCT) — agora requerem avaliação contínua de proteção nos EUA
Transferência em Cadeia — dados transferidos para US não podem ser reenviados para outras jurisdições sem nova avaliação
Medidas Complementares — encriptação, pseudonimização e outras protecções técnicas são obrigatórias

Transfer Impact Assessment (TIA)

A TIA é a avaliação especializada de se dados podem ser protegidos após transferência. Inclui:

Avaliação de capacidade de acesso estatal na jurisdição de destino
Análise de medidas complementares disponíveis (Decision 2021/914 EDPB)
Parecer de conformidade com EDPB 1/2020 (Supplementary Measures)

EDPB 01/2020 — Supplementary Measures

A Recomendação de Medidas Complementares da EDPB orienta como implementar protecções técnicas, jurídicas e organizacionais para mitigar riscos de vigilância estatal pós-transferência.

BCR e SCC — Quando Necessitam de DPIA

Binding Corporate Rules e Standard Contractual Clauses não substituem, mas interagem com a DPIA.

Mecanismo	O que é	Requer DPIA?	Notas
BCR (Binding Corporate Rules)	Politicas internas vinculantes dentro de grupo multinacional	Não obrigatória, mas recomendada	EDPB 80/2018 — BCE deve ser aprovada por CNPD; DPIA documenta conformidade
SCC (Standard Contractual Clauses — Decision 2021/914)	Cláusulas-padrão da Comissão para transferências intra-UE e extra-UE	Sim — especialmente pós-Schrems II	TIA (Transfer Impact Assessment) é parte integral da DPIA quando SCC é usado para países terceiros
Adequação (Adequacy Decision)	Comissão reconhece nível de protecção equivalente	Não obrigatória, mas DPIA documenta conformidade local	EU-US DPF (recém-acordado), UK (Brexit), Japão, Coreia do Sul — ainda requerem DPIA por questões estruturais

Decisões de Adequação: Panorama Global

Visão geral dos regimes com decisões de adequação ou em negociação.

Jurisdição	Status de Adequação	Marcos Legais Principais	Nota DPIA
EUA	EU-US DPF (2023) — Condicional	CCPA, GLBA, HIPAA, leis estaduais	Requer TIA e medidas complementares; Schrems II aplicável a dados armazenados
Reino Unido	Adequacy (pós-Brexit, 2021)	UK GDPR, UK Data Protection Act 2018	DPIA documenta conformidade com UK DPA; divergências com EU GDPR em risco
Japão	Adequacy (2019)	APPI (Act on Protection of Personal Information, 2020)	Verificar conformidade com APPI Art. 23 (transferências internacionais)
Coreia do Sul	Adequacy (2020)	PIPA (Personal Information Protection Act)	Transferências requerem avaliação sob PIPA Art. 17
Brasil	Sem adequacy formal UE	LGPD (2020), RIPD (Resolução sobre transferências, 2020)	DPIA deve mapear LGPD Art. 5.º XVII + Art. 38.º (transferências); Schrems II não se aplica, mas protecção equivalente exigida
Mercados CPLP	Sem adequacy UE	Leis nacionais variáveis (Angola, Moçambique, Timor-Leste)	DPIA especializada; Recomendação EDPB sobre medidas complementares

DPIA vs FRIA vs AICS em Contexto Internacional

Diferenciação com avaliações relacionadas no ecossistema português.

DPIA (Avaliação de Impacto sobre Protecção de Dados)

Art. 35.º GDPR, Art. 38.º LGPD

Avaliação de risco para operações com alto risco (transferências internacionais, processamento em larga escala, dados sensíveis).

aipd.pt → Orientações CNPD

FRIA (Avaliação de Impacto Fundamentais)

Art. 27.º AI Act

Avaliação de direitos fundamentais para sistemas de IA de alto risco (reconhecimento facial, sistemas de scores).

aidf.pt → AI Act

AICS (Avaliação de Impacto Compliance Setorial)

Sectores regulados (Finança, Saúde, Energia)

Avaliação de conformidade com leis setoriais (MiFID II, NIS 2, GDPR + setor). Inclui DPIA como componente.

aics.pt → Compliance Setorial

Avaliação Regulatória

Impacto Regulatório (Lei da Transparência)

Impacto de novas políticas públicas ou processos administrativos em direitos fundamentais.

impactoregulatorio.pt

Articulação: DPIA + FRIA em IA Transfronteiriça

Quando um sistema de IA transfronteiriço é implementado, é comum executar em paralelo DPIA (protecção de dados) + FRIA (direitos fundamentais) + AICS (compliance setorial).

Ressalvas Importantes

Documentação obrigatória segundo Art. 35.º GDPR e Art. 38.º LGPD.

A DPIA internacional não substitui pareceres jurídicos especializados
Deve ser realizada antes de processos críticos serem implementados
Requer envolvimento do DPO (se nomeado) e de autoridades de supervisão em contextos pré-decisão
Deve ser revisitada anualmente ou quando há mudanças significativas no processamento
A transferência de dados baseada em SCC sem DPIA (pós-Schrems II) é considerada não-conforme

Para uma DPIA Nacional em Portugal

Consulte aipd.pt/obrigatoriedade para o critério CNPD completo de quando a DPIA é obrigatória em Portugal.

Próximas Etapas

Aprofunde o conhecimento sobre obrigações multi-jurisdicionais e metodologia.

Obrigações Multijurisdicionais →

O que é uma DPIA Internacional?