A Axencia Española de Protección de Datos (
, un documento destinado ao sector público que aborda a necesidade de realizar unha avaliación de impacto desde o deseño cando a medida lexislativa implica o tratamento de datos persoais, achegando consellos e recomendacións para levala a cabo.
Dirixido aos organismos das Administracións Públicas que promovan proxectos normativos que impliquen tratamentos de datos persoais e aos seus delegados de protección de datos, o documento analiza os requisitos previos que hai que analizar para saber se hai que facer esa avaliación de impacto, como debe realizarse en caso afirmativo e que aspectos que se deben ter en conta para avaliar a calidade da mesma.
A elaboración dunha Memoria de Impacto Normativo (R.D. 931/2017) recolle que a Avaliación de impacto debe realizarse desde o deseño da norma. Pola súa banda, a Lei Orgánica de Protección de Datos establece que o tratamento de datos persoais por obriga legal, interese público ou exercicio de poderes públicos só pode levar a cabo cando estea previsto ou se derive dunha competencia atribuída por unha norma de Dereito da Unión Europea ou unha norma con rango de lei. En caso de non existir dita norma ou non cumprir cos requisitos legais, deberá proporse a elaboración dunha norma con rango de lei que dea cobertura ao tratamento. As Orientacións lembran que o consentimento non é, con carácter xeral, a base xurídica adecuada para un tratamento establecido por norma, debido ao desequilibro entre o interesado e a autoridade pública responsable.
Unha vez determinado que existe unha base legal para levar a cabo o tratamento, a avaliación de impacto da norma debe analizar o impacto que este vai ter sobre os dereitos e liberdades fundamentais das persoas, individualmente e como sociedade, achegando salvagardas organizativas, xurídicas e técnicas.
A Axencia lembra que o feito de que unha medida supoña riscos para os dereitos non significa que a medida non poida proporse, senón que terá que exporse de forma que supere a Avaliación de impacto, é dicir, que eses riscos para as persoas puidesen mitigarse adecuadamente e superouse a análise de necesidade, proporcionalidade e idoneidade.
Doutra banda, aquelas iniciativas que impliquen tratamentos nos que interveñan intelixencia artificial, decisións automatizadas, biometría, vixilancia masiva, centralización a gran escala, tratamento masivo de datos, datos de menores, de persoas vulnerables, etc., poderían implicar riscos adicionais e impactos colaterais indeseados que deben terse en conta na avaliación de impacto.
Como material de axuda, para axudar á identificación de riscos para os dereitos e liberdades a Axencia recomenda consultar guíaa ‘Xestión do risco e avaliación de impacto en tratamentos de datos persoais’ , a ‘Relación de táboas da guía de Xestión do risco e avaliación de impacto’ , ou a ferramenta Avalía_Risco , na que se atopan identificados máis de 130 factores de risco que aparecen na normativa de protección de datos. Ademais, a Área de Administracións Públicas da web da Axencia recolle máis recursos dispoñibles, como as recentes Orientacións para tratamentos que implican comunicación de datos entre Administracións Públicas ante o risco de brechas de datos persoais .
