Contacte
Quan un tractament, per la seva naturalesa, abast, context o fins suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l'impacte en la protecció de dades (AIPD).
L’article 35.3 de l’RGPD estableix que, entre d’altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents supòsits:
"a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques basada en un tractament automatitzat, com l'elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10.
c) Observació sistemàtica a gran escala d'una zona d'accés públic.”
Per determinar què s’ha d'entendre per “gran escala”, es pot tenir en compte que el Grup de l'article 29, en el seu dictamen sobre la designació de delegats de protecció de dades, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:
- El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d'una determinada població.
- El volum i la varietat de dades tractades.
- La durada o permanència de l'activitat de tractament.
- L'extensió geogràfica de l'activitat de tractament.
L’article 35.4 de l’RGPD preveu que les autoritats de control han de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades. Aquesta Autoritat considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments inclosos en la següent llista.
Aquesta llista recull les Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679, adoptades pel Grup de Treball de l’Article 29 el 4 d’abril de 2017 (en endavant, WP 248) i assumides pel Comitè Europeu de Protecció de dades en la seva reunió de 25 de maig de 2018.
Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies.
Aquests criteris són d’aplicació no només als responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades no serà necessari que l’elaborin després els responsables del tractament.
Un cop realitzada l’AIPD, el responsable ha de formular, amb caràcter previ a l’inici del tractament, una consulta a aquesta Autoritat llevat que l’existència d’alt risc pels drets i llibertats de les persones s’hagi pogut mitigar amb l’adopció de mesures tècniques i organitzatives adequades.
Destaquem
- Llistat de tipus de tractaments sotmesos a AIPD
- Guia pràctica per elaborar una AIPD
- Directrius del Grup de treball de l’article 29 sobre l’avaluació d’impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament comporta probablement un alt risc a efectes del Reglament (UE) 2016/679 (WP 248)
- Plantilla per elaborar una AIPD