Obrigações Multijurisdicionais na DPIA

GDPR como Base: Art. 35.º n.º 3 — 9 Critérios da EDPB

O GDPR estabelece que uma DPIA é obrigatória quando o processamento é susceptível de originar alto risco (Art. 35.º n.º 3).

A EDPB em WP248 definiu 9 critérios cumulativos que indicam obrigatoriedade:

Avaliação ou classificação sistemática de pessoas (scoring, perfil)
Tomada de decisão automática com efeitos legais ou prejudiciais similares
Processamento sistemático (monitorização)—em larga escala de dados sensíveis ou dados de origem criminal
Dados sensíveis ou categoria especial (origem racial, opiniões políticas, crenças religiosas, filiação sindical, dados genéticos, biométricos, saúde ou vida sexual)
Dados de menores (menores de 16 anos ou conforme lei nacional)
Vigilância em larga escala de zona de acesso público
Cruzamento ou combinação de dados de múltiplas fontes ou processadores
Transferências internacionais de dados pessoais
Uso de novas tecnologias ou soluções inovadoras (blockchain, IA, IoT)

Se qualquer um destes critérios se aplica, a DPIA é obrigatória segundo GDPR.

Tabela Comparativa: Listas CNPD de 8 Autoridades Europeias

Cada autoridade de supervisão emitiu uma lista indicativa de categorias que requerem DPIA. As exigências variam por jurisdição.

Autoridade	Jurisdição	Categorias Obrigatórias
CNPD	Portugal	Transferências internacionais; decisões automáticas; dados sensíveis; menores; vigilância; IA; biometria
CNIL	França	Tratamentos de dados sensíveis; decisões automáticas; menores; videovigilância; cookie analytics; serviços em nuvem transfronteiriços
BfDI	Alemanha	Processamento em larga escala; dados sensíveis; vigilância; decisões automáticas com efeitos legais; transferências intra-grupo
ICO	Reino Unido	Processamento sistemático e extenso; vigilância; tomada de decisão automática; dados sensíveis; transferências pós-Brexit; conformidade UK GDPR
Garante	Itália	Dados sensíveis (Art. 9); decisões automáticas (Art. 22); vigilância; biometria; IA; menores
AEPD	Espanha	Processamento em larga escala; vigilância; IA; perfiling; dados sensíveis; menores; transferências internacionais
APD	Bélgica	Dados sensíveis; vigilância; decisões automáticas; transferências internacionais; IA; biometria; processamento em larga escala
AP / DPA	Países Baixos	Processamento sistemático e extenso; vigilância; tomada de decisão automáticas; dados especiais; IA; biometria; menores

Regra de Ouro: Integração

Para operações multinacionais, integre os requisitos de todas as 8 autoridades numa DPIA única. Isto evita cumprimento incompleto, retrabalho e divergências.

Obrigações UK GDPR Pós-Brexit

O Reino Unido saiu da UE em janeiro de 2020. O UK GDPR tem origem no GDPR, mas divergências emergiram.

Data Protection Act 2018 (UK) é aplicável, não o GDPR original
Transferências de dados para a UE agora são "internacionais" e requerem avaliação (contrariamente às intra-UE pré-Brexit)
Rol de autoridades muda: ICO (UK) é agora equivalente à CNPD, não subordinada
Adequacy Decision (junho 2021) permite transferências EU → UK sem SCC obrigatória, mas UK → EU ainda é transfronteiriça
Brexit clauses e emendas podem requerer novas DPIAs se o processamento UK foi previamente "doméstico EU"

LGPD e RIPD — Brasil

Brasil implementou a Lei Geral de Proteção de Dados (LGPD) em 2020 e a Resolução sobre Transferências Internacionais (RIPD).

LGPD Art. 5.º, XVII — Transferências Internacionais

Transferências de dados pessoais para o exterior exigem consentimento explícito ou base legal (LGPD Art. 7.º)
Sem adequacy decision Brasil-UE, cada transferência requer avaliação caso-a-caso
RIPD (Resolução de Transferências) orienta implementação de protecções

LGPD Art. 38.º — Processadores em Outros Países

Controlador (no Brasil) permanece responsável por processadores fora de Brasil
Contrato com processador deve contemplar protecções equivalentes
DPIA em contexto Brasil deve documentar conformidade LGPD + protecções equivalentes à UE

DPIA para Operações Brasil-EU

Consulte P06 — Mercados CPLP para aprofundamento sobre LGPD e interoperabilidade com GDPR.

AI Act Art. 27.º — DPIAs para IA Transfronteiriça

O AI Act (UE, em vigência desde janeiro 2025) requer DPIA para sistemas de IA de alto risco, frequentemente em operações transfronteiriças.

Art. 27.º AI Act — Avaliação de direitos fundamentais (FRIA) para IA de alto risco
Complementar a DPIA com FRIA quando sistema de IA processa dados pessoais e tem risco de discriminação, vigilância ou limitação de direitos
Integração: DPIA (protecção de dados) + FRIA (direitos fundamentais) + AICS (compliance setorial) são frequentemente executadas em paralelo
Transferências de dados para treino de modelos IA requerem TIA (Transfer Impact Assessment) específica

Checklist CSS Interativo: Preciso de DPIA Multijurisdacional?

Use esta checklist para autoavaliar se necessita de DPIA multijurisdacional.

A nossa organização opera em mais de 3 países? +

Sim → Proceda para pergunta seguinte. Não → DPIA doméstica pode ser suficiente (consulte CNPD para Portugal).

Transferimos dados pessoais para fora da UE (incluindo US, Brasil, CPLP)? +

Sim → OBRIGATÓRIO DPIA + TIA (Transfer Impact Assessment). Schrems II aplica-se se transferência inclui EUA.

Processamos dados sensíveis (saúde, origem racial, políticas, crenças religiosas)? +

Sim → OBRIGATÓRIO DPIA multinacional sob todas as 8 autoridades europeias listadas.

Implementamos sistemas de IA ou tomada de decisão automática com efeitos legais/prejudiciais? +

Sim → OBRIGATÓRIO DPIA + FRIA + AI Act Art. 27.º. DPIA multinacional se IA é transfronteiriça.

Processamos dados de menores (< 16 anos conforme lei local)? +

Sim → OBRIGATÓRIO DPIA. Se transferências multinacionais, requer harmonização de proteções por jurisdição (idade consentimento varia por país).

Realizamos videovigilância ou monitorização sistemática de funcionários/clientes? +

Sim → OBRIGATÓRIO DPIA. Se videodados são armazenados internacionalmente, requer TIA multinacional.

Combinamos dados de múltiplas fontes para perfiling ou scoring? +

Sim → OBRIGATÓRIO DPIA. Especialmente se scoring tem efeitos transfronteiriços (acesso a crédito, emprego, seguros).

Resultado: Precisa de DPIA Multijurisdacional

Se respondeu "Sim" a qualquer uma das perguntas acima, recomendamos DPIA multinacional integrada com envolvimento de DPO e especialistas legais por jurisdição.

Consequências de Não Conformidade Transfronteiriça

A execução de DPIA é obrigatória. A falta de conformidade acarreta riscos substantivos.

Multas GDPR — até 4% do volume de negócios global anual (Art. 83.º GDPR)
Ordens de cessação de processamento — autoridades podem ordenar paragem de transferências
Processos judiciais privados — indivíduos podem processar por danos (Art. 82.º GDPR)
Responsabilidade executiva — em alguns casos, directores podem ser responsabilizados pessoalmente
Perda de reputação e confiança de clientes

Link para CNPD — Obrigatoriedade em Portugal

Para o contexto doméstico português, consulte a orientação completa da CNPD.

CNPD — Lista de Categorias Obrigatórias DPIA

aipd.pt/obrigatoriedade — Critério oficial CNPD para quando a DPIA é obrigatória em Portugal.

Próximas Etapas

Aprofunde com a metodologia multinacional e contacte-nos para implementação.

Metodologia para Multinacionais →