Guia de l'APDCAT sobre l'avaluació d’impacte del GDPR

27/06/2017 | Francisco Canalda


Idees clau de la guia per a l’avaluació d’impacte relativa a la protecció de dades


El procediment d’avaluació serà d’obligat compliment per a les empreses que tracten dades que poden suposar un alt risc per als drets i les llibertats de les persones, especialment quan fan una avaluació sistemàtica i exhaustiva d'aspectes personals de persones, tracten categories especials de dades a gran escala o fan una observació sistemàtica a gran escala de zones d’accés públic.

L’avaluació d’impacte és l’instrument essencial per aplicar el principi de responsabilitat proactiva (accountability) del nou reglament, ja que no només facilita que es compleixi la norma, sinó també poder-ho demostrar.

El mètode de treball que proposa aquesta guia per fer avaluacions d’impacte s’estructura en sis fases i està connectat amb el concepte de protecció de dades des del disseny: anàlisi prèvia, descripció sistemàtica del tractament, gestió de riscos, informe d’avaluació d’impacte, supervisió de la implantació i revisió del tractament respecte de l’AIPD.

El delegat de protecció de dades pot ser qui plantegi al responsable del tractament la necessitat de fer l’avaluació d’un tractament de dades. A més, li correspon donar el suport metodològic necessari, valorar si la gestió del risc és ajustada a les característiques dels riscos del tractament i ajudar a determinar si el risc residual és acceptable. A més, ha de contribuir que el responsable del tractament prengui consciència del context i supervisar que l’AIPD s’està implementat correctament.

El resultat final d’una avaluació d'impacte és un informe, que recull les característiques del tractament avaluat i les decisions preses per mitigar-ne els riscos, a partir de la identificació, anàlisi, valoració i tractament (gestió de riscos), i un cop analitzades qüestions com l'interès legítim (si escau) o la necessitat i la proporcionalitat de les operacions de tractament.


 

Archivos adjuntos