Avaluació d'Impacte de Protecció de Dades (AIPD)

El Reglament estableix que cal fer-la quan sigui probable que un tractament comporti un alt risc per a les persones. No descriu què és un alt risc, però diu que s’han de tenir en compte aspectes com ara l’ús de noves tecnologies, així com la naturalesa, l’abast, el context i la finalitat del tractament.

En particular, el Reglament exigeix que es faci una AIPD en els 3 casos següents:

• Avaluació sistemàtica d’aspectes personals basada en un tractament automatitzat, sobre el qual es prenen decisions que afecten significativament les persones.
• Tractament a gran escala de dades de categories especials o dades relatives a infraccions o condemnes penals.
• Observació sistemàtica a gran escala d’una zona d’accés públic.

A banda, exigeix que cada autoritat de protecció de dades publiqui una llista dels tractaments que requereixen una AIPD. En el cas de l’Autoritat Catalana de Protecció de Dades, aquesta llista es pot consultar aquí. Per a les organitzacions sota l’àmbit de competència de l’autoritat espanyola, la llista es pot consultar aquí.

També pot ser necessari fer una avaluació d’impacte com a resultat de les garanties extra que exigeix el Reglament per als tractaments amb finalitat d’arxiu en interès públic, estadística o investigació científica o històrica, si així ho determina la legislació de l’estat membre (l’LOPDGDD, en el nostre cas).

Per contra, el Reglament eximeix de fer una avaluació d’impacte en els tractaments basats en una obligació legal o en l’interès públic, quan hi ha una llei de l’estat membre o de la Unió que ho regula i l’avaluació d’impacte s’ha dut a terme en el procés d’aprovació d’aquesta llei.

En cas de dubte, es recomana fer l’avaluació d’impacte, sobretot en els tractaments més complexos.

En general, l’avaluació d’impacte no s’ha de comunicar a l’Autoritat. El responsable del tractament l’ha de guardar, per si l’Autoritat li requereix.