GDPR 14. L'avaluació d'impacte


Josep Aragonés Salvat     08/09/2016

Avaluació d'impacte en compte de nortificar fitxers


La Directiva 95/46 / CE i conseqüentment la LOPD van establir l'obligació de notificar els fitxers a l'autoritat de control. El Reglament reconeix en els considerandos 89-91 que aquesta mesura no ha contribuït a millorar la protecció de dades personals i la substitueix per l'obligació de realitzar una avaluació d'impacte quan sigui probable que el tractament comporti un alt risc per als drets i llibertats dels interessats.

En aquest sentit, el Reglament dóna competència a les autoritats de control per establir una llista d'operacions de tractament que requereixen una avaluació d'impacte i també dels tractaments que no la necessitin.

Per ara, si no es té molt clar que s'ha de realitzar una avaluació d'impacte en els termes que indica el Reglament, més val esperar que l'AEPD estableixi aquesta llista i comprovar que el tractament ho requereixi. L'AEPD està treballant en això i segur que més aviat que tard tindrem definits aquests conceptes.

 

Obligació de realitzar una avaluació d'impacte


El Responsable del tractament serà l'encarregat d'avaluar l'origen, la naturalesa, la particularitat i la gravetat dels riscos del tractament i de dissenyar mesures adequades per mitigar-lo i garantir la protecció de dades, tenint en compte la tecnologia disponible i els costos d'aplicació .

Segons l'article 35 del Reglament (UE) 2016/679 de 27 d'abril (GDPR), el Responsable del tractament haurà de realitzar una avaluació d'impacte quan:
 
  • S'utilitzin noves tecnologies i la seva naturalesa, abast, context o fins del tractament prevegin un alt risc.
  • El tractament es basi en una elaboració de perfils que puguin afectar significativament als interessats amb efectes jurídics o d'alguna altra manera.
  • Es tracten dades relatives a condemnes i delictes penals.
  • Hi hagi un tractament a gran escala basat en l'observació sistemàtica d'una zona d'accés públic o en categories especials de dades.

Quan el tractament contempli alguna de les 2 últimes opcions (condemnes i delictes penals o gran escala) també serà necessari designar un DPO.

Per a més informació sobre DPO i tractaments a gran escala, consultar l'article d'aquest mateix web: Obligació de designar un DPO

 

Contingut de l'avaluació d'impacte


L'avaluació d'impacte haurà de documentar-se mitjançant:
 
  • Una descripció sistemàtica de:
    • Les operacions de tractament previstes.
    • Els fins del tractament.
    • L'interès legítim perseguit pel RT.
  • Una avaluació de la necessitat i proporcionalitat del tractament pel que fa a la seva finalitat.
  • Una avaluació dels riscos per als drets i llibertats dels interessats.
  • Els mecanismes destinats a garantir la protecció de dades tenint en compte els drets i interessos dels interessats i els d'altres persones afectades.
  • Les mesures de seguretat previstes per afrontar els riscos del tractament des del disseny i per defecte en qualsevol fase del tractament: obtenció, accés, intervenció, transmissió, conservació i supressió.
 
 

Consideracions relatives a l'avaluació d'impacte


Quan hi hagi un DPO, el Responsable haurà de sol·licitar el seu assessorament per dur a terme l'avaluació d'impacte.

Una única avaluació d'impacte podrà servir per abordar diverses operacions de tractament similars que plantegin alts riscos similars.

Quan hi hagi una avaluació d'impacte general establerta per la legislació vigent, es podrà realitzar una avaluació d'impacte parcial basada en la general, quan el tractament s'efectuï per:
 
  • Una obligació jurídica del Responsable del tractament.
  • Una missió d'interès públic.

El Responsable del tractament haurà de realitzar una revisió de l'avaluació d'impacte quan hi hagi algun canvi en els riscos del tractament.


 

Què diu el GDPR


Considerant 89 GDPR
La Directiva 95/46 / CE va establir l'obligació general de notificar el tractament de dades personals a les autoritats de control. Malgrat implicar càrregues administratives i financeres, aquesta obligació, però, no va contribuir en tots els casos a millorar la protecció de les dades personals. Per tant, aquestes obligacions generals de notificació indiscriminada han d'eliminar-se i substituir-se per procediments i mecanismes eficaços que se centrin, al seu lloc, en els tipus d'operacions de tractament que, per la seva naturalesa, abast, context i fins, comportin probablement un alt risc per als drets i llibertats de les persones físiques. Aquests tipus d'operacions de tractament poden ser, en particular, les que impliquen l'ús de noves tecnologies, o són d'una nova classe i el responsable del tractament no ha realitzat prèviament una avaluació d'impacte relativa a la protecció de dades, o si resulten necessàries vist el temps transcorregut des del tractament inicial.


Considerant 90 GDPR
En aquests casos, el responsable de dur a terme, abans del tractament, una avaluació d'impacte relativa a la protecció de dades per tal de valorar la particular gravetat i probabilitat de l'alt risc, tenint en compte la naturalesa, àmbit, context i fins del tractament i els orígens del risc. Aquesta avaluació d'impacte ha d'incloure, en particular, les mesures, garanties i mecanismes previstos per mitigar el risc, garantir la protecció de les dades personals i demostrar la conformitat amb el present Reglament.


Considerant 91 GDPR
L'anterior s'ha d'aplicar, en particular, a les operacions de tractament a gran escala que persegueixen tractar una quantitat considerable de dades personals a nivell regional, nacional o supranacional i que podrien afectar un gran nombre d'interessats i comportin probablement un alt risc, per exemple, per la seva sensibilitat, quan, en funció del nivell de coneixements tècnics assolit, s'hagi utilitzat una nova tecnologia a gran escala ia altres operacions de tractament que comporten un alt risc per als drets i llibertats dels interessats, en particular quan aquestes operacions fa més difícil per als interessats l'exercici dels seus drets. L'avaluació d'impacte relativa a la protecció de dades ha de realitzar-se també en els casos en què es tracten dades personals per adoptar decisions relatives a persones físiques concretes arran d'una avaluació sistemàtica i exhaustiva d'aspectes personals propis de persones físiques, basada en la elaboració de perfils d'aquestes dades o arran del tractament de categories especials de dades personals, dades biomètriques o dades sobre condemnes i infraccions penals o mesures de seguretat connexes. També és necessària una avaluació d'impacte relativa a la protecció de dades per al control de zones d'accés públic a gran escala, en particular quan s'utilitzin dispositius optoelectrònics o per qualsevol altre tipus d'operació quan l'autoritat de control competent consideri que el tractament comporti probablement un alt risc per als drets i llibertats dels interessats, en particular perquè impedeixi als interessats exercir un dret o utilitzar un servei o executar un contracte, o perquè s'efectuï sistemàticament a gran escala. El tractament de dades personals no ha de considerar-se a gran escala si ho fa, respecte de dades personals de pacients o clients, un sol metge, un altre professional de la salut o advocat. En aquests casos, l'avaluació d'impacte de la protecció de dades no ha de ser obligatòria.

 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 13. Tractament de categories especials de dades     Tema següent: 15. Transferències internacionals de dades



Informació relacionada