Què és l'Avaluació d'Impacte de la Protecció de Dades? Afecta a la meva startup?

Delegat de Protecció de Dades, Privadesa des del Disseny o per Defecte, Avaluació d’Impacte de la Protecció de Dades…són només alguns dels conceptes en matèria de privadesa que les empreses que tractin dades personals (alguna no ho fa?), hauran de començar a usar. Aquí ens centrem en la citada Avaluació d’Impacte (més fàcil “AIPD”). Ens trobem davant un concepte de privacitat nou a nivell normativa però clàssic a nivell teòric. Aquesta figura s’inclou en la proposta de Reglament Europeu de Protecció de Dades, actualment seguint el seu camí a la Unió Europea, i pretén que totes aquelles organitzacions que implementin nous sistemes de tractament de dades o modifiquin els que ja tenen (apps, programari, programes, etc…), avaluïn de forma prèvia quina impacte en la privacitat dels usuaris, tindran aquests sistemes. En altres paraules, pretén que abans a la implementació dels mateixos, els responsables del desenvolupament, identifiquin i prenguin mesures per minimitzar aquests riscos. Aquesta figura té molt a veure amb un altre concepte “nou”: la privacitat des del disseny: les eines que tractin dades, han d’incorporar el respecte a la privacitat en el mateix moment que s’avaluen altres elements inicials com el cost, el disseny gràfic, proveïdors informàtics, etc…

Com es tradueix aquesta obligació per startups?

Això implica més documentació, més protocols, més papers. Amb caràcter previ al tractament de dades haurà de redactar-se un informe d’AIPD. Això implica un informe per cada app, programa, software diferent…

Què inclou?

• Una identificació de la necessitat de redactar l’AIPD.

• Una descripció dels fluxos d’informació.

• Identificar els riscos associats a la privacitat.

• Identificar com soluciono aquests riscos.

És obligatori?

A data d’avui no és obligatori, però l’esmentada reforma europea ho preveu per a aquells sistemes d’informació que tractin dades de més de 5000 persones en un termini inferior a un any. Molt? No necessàriament, penseu en les descàrregues de qualsevol app. També es preveu per si es tractessin dades sensibles (per exemple salut).

Qui ha d’intervenir en la seva redacció?

Indiscutiblement és necessària la intervenció de personal tècnic de l’empresa que sigui capaç de donar resposta a les preguntes que se li plantegessin en relació a riscos relacionats amb un projecte concret i forma de solucionar-los. Haurà més d’intervenir, personal qualificat (i a poder ser, certificat) en matèria de privacitat ja sigui a nivell tècnic com a jurídic (i si poden ser els dos, millor).

On trobo més informació?

Actualment l’Autoritat de Protecció de Dades del Regne Unit ha publicat una Guia Pràctica sobre el tema i l’AEPD un esborrany (molt inspirat en la primera), que en breu acabarà en Guia.

La legalitat de la teva empresa,
en les millors mans


93 540 43 32