Contacte
El Reglament estableix que cal fer-la quan sigui probable que un tractament comporti un alt risc per a les persones. No descriu què és un alt risc, però diu que s’han de tenir en compte aspectes com ara l’ús de noves tecnologies, així com la naturalesa, l’abast, el context i la finalitat del tractament.
En particular, el Reglament exigeix que es faci una AIPD en els 3 casos següents:
- Avaluació sistemàtica d’aspectes personals basada en un tractament automatitzat, sobre la qual es prenen decisions que afecten significativament les persones.
- Tractament a gran escala de dades de categories especials o dades relatives a infraccions o condemnes penals.
- Observació sistemàtica a gran escala d’una zona d’accés públic.
A banda, exigeix que cada autoritat de protecció de dades publiqui una llista dels tractaments que requereixen una AIPD. En el cas de l’Autoritat Catalana de Protecció de Dades, aquesta llista es pot consultar aquí. Per a les organitzacions sota l’àmbit de competència de l’autoritat espanyola, la llista es pot consultar aquí
També pot caldre fer una avaluació d’impacte com a resultat de les garanties extra que exigeix el Reglament per als tractaments amb finalitat d’arxiu en interès públic, estadística o investigació científica o històrica, si així ho determina la legislació de l’estat membre (l’LOPDGDD, en el nostre cas).
Per contra, el Reglament eximeix de fer una avaluació d’impacte en els tractaments basats en una obligació legal o en l’interès públic, quan hi ha una llei de l’estat membre o de la Unió que ho regula i l’avaluació d’impacte s’ha dut a terme en el procés d’aprovació d’aquesta llei.
En cas de dubte, es recomana fer l’avaluació d’impacte, sobretot en els tractaments més complexos.
L’RGPD estableix el contingut mínim que ha de tenir una avaluació d’impacte:
- Descripció sistemàtica de les operacions i les finalitats del tractament.
- Avaluació de la necessitat i de la proporcionalitat de les operacions en relació amb la seva finalitat.
- Avaluació dels riscos per als drets i les llibertats dels interessats.
- Les mesures proposades per mitigar els riscos.
Llevat d’aquest contingut mínim, el Reglament no dona més informació sobre com s’ha d’estructurar una avaluació d’impacte ni de com s’ha de complir aquest contingut mínim. Es per això que s’han proposat descripcions més detallades del contingut i, fins i tot, models concrets d’avaluació d’impacte.
En relació amb la manera de complir amb el contingut mínim d’una avaluació d’impacte, cal destacar el detall de l’annex 2 del document “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679” del Grup de l’article 29. Aquest annex fa una descripció detallada dels aspectes que ha de tractar una avaluació d’impacte, per ser acceptable.
Per facilitar la tasca als analistes, s’han proposat diferents models que estructuren les avaluacions d’impacte i compleixen amb els continguts mínims esmentats anteriorment. Entre aquests models hi ha el que ha proposat l’Autoritat, que compta amb un manual, un model per completar i, fins i tot, una aplicació que facilita encara més la tasca.
En general, l’avaluació d’impacte no s’ha de comunicar a l’Autoritat. El responsable del tractament l’ha de guardar, per si l’Autoritat li requereix.
En canvi, en el context d’una consulta prèvia sí que cal comunicar-la a l’Autoritat. És a dir, quan l’avaluació d’impacte ha detectat un risc significatiu que no s’ha pogut mitigar adequadament i es consulta l’Autoritat sobre la conveniència del tractament, abans d’iniciar-lo.