• Imprimeix

Avaluació d'impacte relativa a la protecció de dades

Quan és probable que un tractament suposi un risc alt per als drets i les llibertats de les persones físiques, per la seva naturalesa, abast, context o finalitats, especialment si s'utilitzen les noves tecnologies, abans d'iniciar el tractament el responsable ha de fer una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals.

L’RGPD conté una llista indicativa de tres supòsits en els quals es considera que els tractaments comporten un alt risc:

  • Elaboració de perfils, sobre la base dels quals es prenen decisions que produeixen efectes jurídics sobre els interessats o que els afecten significativament de manera similar.
  • Tractament a gran escala de dades sensibles.
  • Observació sistemàtica a gran escala d'una zona d'accés públic.

Aquests criteris inclouen la noció de “gran escala”. L’RGPD no determina què s’ha d'entendre per “gran escala”. El Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades (del qual es parla més endavant), considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:

  • El nombre d'interessats afectats, ja sigui en termes absoluts o com a proporció d'una determinada població.
  • El volum i la varietat de dades tractades.
  • La durada o permanència de l'activitat de tractament.
  • L'extensió geogràfica de l'activitat de tractament.

Juntament amb aquests tres supòsits, l’RGPD obliga les autoritats de protecció de dades a confeccionar llistes addicionals de tractaments que requereixen una avaluació d'impacte.

L’RGPD també preveu que les autoritats puguin elaborar llistes de tractaments que no requereixen avaluació d'impacte.

L'existència d'aquests llistats no exclou que els responsables hagin de fer l’anàlisi de risc corresponent i, si conclouen que hi ha un alt risc per als drets i les llibertats de les persones interessades, duguin a terme una avaluació d'impacte encara que el tractament en qüestió no estigui inclòs en cap de les dues llistes esmentades.

Si l'avaluació d'impacte sobre la protecció de dades dona com a resultat que el tractament previst pot infringir l’RGPD, en particular quan el responsable no ha identificat o mitigat prou el risc, el responsable ha de fer una consulta prèvia a l'autoritat de control de protecció de dades competent.

Enllaç a la Guia per a l'avaluació de impacte relativa a la protecció de dades