Contacte
Quan un tractament, per la seva naturalesa, abast, context o finalitats, suposi un alt risc per als drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, l’entitat responsable del tractament ha de fer abans una avaluació de l’impacte en la protecció de dades (AIPD).
L’RGPD estableix que, entre altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents:
- Avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques basada en un tractament automatitzat, com l’elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
- Tractament a gran escala de les categories especials de dades o de les dades personals relatives a condemnes i infraccions penals.
- Observació sistemàtica a gran escala d’una zona d’accés públic.
Per determinar què s’ha d’entendre per “gran escala”, es pot tenir en compte el que determina el Grup de l’article 29, en les Directrius sobre la designació de delegats de protecció de dades. Així, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:
- El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una determinada població.
- El volum i la varietat de dades tractades.
- La durada o permanència de l’activitat de tractament.
- L’extensió geogràfica de l’activitat de tractament.
L’RGPD preveu que les autoritats de control han de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades. L’APDCAT considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments inclosos en la següent llista. Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc per als drets i llibertats de les persones, especialment si s’utilitzen noves tecnologies.
Aquests criteris són d’aplicació no només a les entitats responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades, no serà necessari que les entitats responsables del tractament l’elaborin després.
Consulta prèvia
Si de l’avaluació d’impacte sobre la protecció de dades en resulta que el tractament previst pot infringir l’RGPD, en particular quan l’entitat responsable no ha identificat o mitigat suficientment el risc, aquesta ha de fer una consulta a l’autoritat de control de protecció de dades competent, com ara l’APDCAT. La consulta ha d’anar acompanyada de la documentació que preveu l’RGPD, inclosa la mateixa avaluació d’impacte.
L’autoritat de control ha d’assessorar per escrit l’entitat responsable i, si escau, l’encarregada del tractament, i pot fer ús de tots els poders que li confereix el Reglament, entre els quals hi ha el de prohibir l’operació de tractament.
Destaquem
- Llistat de tipus de tractaments sotmesos a AIPD
- Guia pràctica per elaborar una AIPD
- Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248)
- Plantilla per elaborar una AIPD