Elaborar una avaluació d’impacte de protecció de dades

Quan un tractament, per la seva naturalesa, abast, context o finalitats, suposi un alt risc per als drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, l’entitat responsable del tractament ha de fer abans una avaluació de l’impacte en la protecció de dades (AIPD).

L’RGPD estableix que, entre altres supòsits, cal fer una avaluació d’impacte relativa a la protecció de dades en els següents:

• Avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques basada en un tractament automatitzat, com l’elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.
• Tractament a gran escala de les categories especials de dades o de les dades personals relatives a condemnes i infraccions penals.
• Observació sistemàtica a gran escala d’una zona d’accés públic.

Per determinar què s’ha d’entendre per “gran escala”, es pot tenir en compte el que determina el Grup de l’article 29, en les Directrius sobre la designació de delegats de protecció de dades. Així, considera que per valorar si el tractament es fa a gran escala s’ha de tenir en compte el següent:

• El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una determinada població.

• El volum i la varietat de dades tractades.

• La durada o permanència de l’activitat de tractament.

• L’extensió geogràfica de l’activitat de tractament.

L’RGPD preveu que les autoritats de control han de publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades. L’APDCAT considera que cal fer una avaluació de l’impacte relativa a la protecció de dades en els tractaments inclosos en la següent llista. Aquesta llista no és exhaustiva i s’anirà actualitzant. Si una operació de tractament no hi figura no significa que no es requereixi fer l’AIPD. Cal verificar sempre que el tractament no suposa un alt risc per als drets i llibertats de les persones, especialment si s’utilitzen noves tecnologies.

Aquests criteris són d’aplicació no només a les entitats responsables que vulguin dur a terme algun dels tractaments inclosos, sinó també als òrgans i institucions que elaborin un projecte de disposició normativa que comporti algun d’aquests tractaments. En aquest cas, si el projecte normatiu s’ha sotmès a una avaluació d’impacte relativa a la protecció de dades, no serà necessari que les entitats responsables del tractament l’elaborin després.