Avaluació d’Impacte de Protecció de Dades

L’avaluació d’impacte de protecció de dades

L’Avaluació d’Impacte de Protecció de Dades és una de les “noves” obligacions de l’RGPD i, malgrat que va ser introduïda ja fa més de 2 anys i mig, encara segueix havent certa confusió, raó per la qual ens hem decidit a escriure sobre això en aquest primer post de l’any.

Què és?

Aquesta avaluació és una mesura addicional que han de dur a terme de forma obligatòria, certes empreses o organitzacions que duguin a terme tractaments de dades que es consideren d’alt risc.

  • No s’ha de confondre amb l’Anàlisi de Riscos que és una obligació per a qualsevol empresa o organització que tracti dades personals, sense excepció.
  • Una de les fases de l’Anàlisi de Riscos és precisament determinar si algun dels tractaments analitzats requereixen d’una Avaluació d’Impacte de Protecció de Dades i per conèixer quins tractaments estan subjectes, tenim dues fonts principals.
  • L’art. 35 de l’RGPD que inclou tres tipus de tractaments que requereixen una Avaluació d’Impacte de Protecció de Dades:

a) avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques que es basi en un tractament automatitzat, com l’elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;

b) tractament a gran escala de les categories especials de dades a què es refereix l’article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l’article 10;

c) observació sistemàtica a gran escala d’una zona d’accés públic”.

  • El llistat de tractaments que requereixen aquesta Avaluació, publicat per l’Agència Espanyola de Protecció de Dades (AEPD).

En qualsevol dels dos supòsits, estem parlant de tractaments que objectivament poden implicar un risc elevat per a les persones que són objecte d’aquest.

  • Per decidir si un tractament requereix o no de l’Avaluació d’Impacte també podem consultar el llistat de tractaments que NO la requereixen, publicat també per l’AEPD.
  • L’Avaluació d’Impacte de Protecció de Dades s’ha de fer abans que s’iniciï el tractament, el que té tota la lògica ja que si de l’Avaluació es conclou que el tractament és intrusiu per a les persones i aquest tractament ja s’està realitzant, poc sentit té.

Què inclou una avaluació d’impacte de protecció de dades?

El mateix RGPD detalla el contingut mínim de l’avaluació, que al menys ha d’incloure:

  1. Una definició dels tractaments realitzats i els seus fins.
  2. Una justificació que el tractament és necessari per aconseguir aquests fins.
  3. Detall dels riscos per als afectats o titulars de les dades.
  4. Mesures per mitigar o eliminar aquests riscos.

Només es podran dur a terme els tractaments que hagin superat l’avaluació d’impacte de protecció de dades. En altres paraules, quan les mesures per mitigar o eliminar aquests riscos hagin estat implementades.

Avaluació Impacte Protecció de Dades

Qui ha de realitzar una avaluació d’impacte de protecció de dades?

Els obligats a realitzar aquesta avaluació d’impacte són els responsables del tractament que efectuen els tractaments comentats. Si en tingués, també ha de participar-hi el delegat de protecció de dades, sent consultat. En el cas que qui tingui accés a dades fos considerat com encarregat del tractament, no té l’obligació de realitzar l’avaluació d’impacte però sí de participar-hi si ha de realitzar-la algun responsable del tractament per compte de qui tracti les dades.

Com actua l’AEPD?

De moment l’AEPD s’ha limitat a fer una tasca pedagògica en relació a aquesta Avaluació d’Impacte, amb la publicació d’una guia a aquest efecte i d’una eina en línia perquè els responsables puguin decidir si han o no de fer-la.

En l’actualitat no consten sancions per la falta de realització de l’avaluació d’impacte a Espanya, encara que en alguns països de la UE, com Noruega o Finlàndia sí que n’hi ha hagut. Veurem si aquest serà el següent pas de l’AEPD…

Si tens qualsevol dubte sobre això o qualsevol aspecte legal, contacta’ns aquí.


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Boletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.

    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.

    Més informació
    Consulta la Política de Privacitat.

    La legalitat de la teva empresa,
    en les millors mans


    933 80 12 56