accesskey_mod_content

L'AEPD publica una guia per ajudar a les AAPP a realitzar avaluacions d'impacte des del disseny en les iniciatives legislatives

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

19 abril 2023

El document recull unes orientacions perquè les Administracions Públiques tinguin en compte la necessitat de realitzar una avaluació d'impacte en la protecció de dades des del disseny de les normes.

L'Agència Espanyola de Protecció de Dades ( AEPD ) ha publicat avui  Orientaciones per a la realització d'una avaluació d'impacte per a la protecció de dades en el desenvolupament normatiu(Obre en nova finestra) , un document destinat al sector públic que aborda la necessitat de realitzar una avaluació d'impacte des del disseny quan la mesura legislativa implica el tractament de dades personals, aportant consells i recomanacions per dur-la a terme.

Dirigit als organismes de les Administracions Públiques que promoguin projectes normatius que impliquin tractaments de dades personals i als seus delegats de protecció de dades, el document analitza els requisits previs que cal analitzar per saber si cal fer aquesta avaluació d'impacte, com ha de realitzar-se en cas afirmatiu i quins aspectes que s'han de tenir en compte per avaluar la qualitat de la mateixa.

L'elaboració d'una Memòria d'Impacte Normatiu (RD 931/2017) recull que l'Avaluació d'impacte ha de realitzar-se des del disseny de la norma. Per la seva banda, la Llei Orgànica de Protecció de Dades estableix que el tractament de dades personals per obligació legal, interès públic o exercici de poders públics solament pot dur-se a terme quan estigui previst o es derivi d'una competència atribuïda per una norma de Dret de la Unió Europea o una norma amb rang de llei. En cas de no existir aquesta norma o no complir amb els requisits legals, haurà de proposar-se l'elaboració d'una norma amb rang de llei que doni cobertura al tractament. Les Orientacions recorden que el consentiment no és, amb caràcter general, la base jurídica adequada per a un tractament establert per norma, a causa del desequilibro entre l'interessat i l'autoritat pública responsable.

Una vegada determinat que existeix una base legal per dur a terme el tractament, l'avaluació d'impacte de la norma ha d'analitzar l'impacte que est va a tenir sobre els drets i llibertats fonamentals de les persones, individualment i com a societat, aportant salvaguardes organitzatives, jurídiques i tècniques.

L'Agència recorda que el fet que una mesura suposi riscos per als drets no significa que la mesura no pugui proposar-se, sinó que haurà de plantejar-se de manera que superi l'Avaluació d'impacte, és a dir, que aquests riscos per a les persones hagin pogut mitigar-se adequadament i s'hagi superat l'anàlisi de necessitat, proporcionalitat i idoneïtat.

D'altra banda, aquelles iniciatives que impliquin tractaments en els quals intervinguin intel·ligència artificial, decisions automatitzades, biometria, vigilància massiva, centralització a gran escala, tractament massiu de dades, dades de menors, de persones vulnerables, etc., podrien implicar riscos addicionals i impactes col·laterals indesitjats que han de tenir-se en compte en l'avaluació d'impacte.

Com a material d'ajuda, per ajudar a la identificació de riscos per als drets i llibertats l'Agència recomana consultar la guia  ‘Gestió del risc i avaluació d'impacte en tractaments de dades personals’(Obre en nova finestra) , la  ‘Relació  ‘Relació de taules de la guia de Gestió del risc i avaluació d'impacte’(Obre en nova finestra) , o l'eina  Avalua_Risc , en la qual es troben identificats més de 130 factors de risc que apareixen en la normativa de protecció de dades. A més, el  Àrea d'Administracions Públiques(Obre en nova finestra)  de la web de l'Agència recull més recursos disponibles, com les recents  Orientacions per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals(Obre en nova finestra) .

Font original de la notícia(Obre en nova finestra)

  • Informació i dades del sector públic
  • Seguretat i Protecció de Dades