L'Agència Espanyola de Protecció de Dades (
, un document destinat al sector públic que aborda la necessitat de realitzar una avaluació d'impacte des del disseny quan la mesura legislativa implica el tractament de dades personals, aportant consells i recomanacions per dur-la a terme.
Dirigit als organismes de les Administracions Públiques que promoguin projectes normatius que impliquin tractaments de dades personals i als seus delegats de protecció de dades, el document analitza els requisits previs que cal analitzar per saber si cal fer aquesta avaluació d'impacte, com ha de realitzar-se en cas afirmatiu i quins aspectes que s'han de tenir en compte per avaluar la qualitat de la mateixa.
L'elaboració d'una Memòria d'Impacte Normatiu (RD 931/2017) recull que l'Avaluació d'impacte ha de realitzar-se des del disseny de la norma. Per la seva banda, la Llei Orgànica de Protecció de Dades estableix que el tractament de dades personals per obligació legal, interès públic o exercici de poders públics solament pot dur-se a terme quan estigui previst o es derivi d'una competència atribuïda per una norma de Dret de la Unió Europea o una norma amb rang de llei. En cas de no existir aquesta norma o no complir amb els requisits legals, haurà de proposar-se l'elaboració d'una norma amb rang de llei que doni cobertura al tractament. Les Orientacions recorden que el consentiment no és, amb caràcter general, la base jurídica adequada per a un tractament establert per norma, a causa del desequilibro entre l'interessat i l'autoritat pública responsable.
Una vegada determinat que existeix una base legal per dur a terme el tractament, l'avaluació d'impacte de la norma ha d'analitzar l'impacte que est va a tenir sobre els drets i llibertats fonamentals de les persones, individualment i com a societat, aportant salvaguardes organitzatives, jurídiques i tècniques.
L'Agència recorda que el fet que una mesura suposi riscos per als drets no significa que la mesura no pugui proposar-se, sinó que haurà de plantejar-se de manera que superi l'Avaluació d'impacte, és a dir, que aquests riscos per a les persones hagin pogut mitigar-se adequadament i s'hagi superat l'anàlisi de necessitat, proporcionalitat i idoneïtat.
D'altra banda, aquelles iniciatives que impliquin tractaments en els quals intervinguin intel·ligència artificial, decisions automatitzades, biometria, vigilància massiva, centralització a gran escala, tractament massiu de dades, dades de menors, de persones vulnerables, etc., podrien implicar riscos addicionals i impactes col·laterals indesitjats que han de tenir-se en compte en l'avaluació d'impacte.
Com a material d'ajuda, per ajudar a la identificació de riscos per als drets i llibertats l'Agència recomana consultar la guia ‘Gestió del risc i avaluació d'impacte en tractaments de dades personals’ , la ‘Relació ‘Relació de taules de la guia de Gestió del risc i avaluació d'impacte’ , o l'eina Avalua_Risc , en la qual es troben identificats més de 130 factors de risc que apareixen en la normativa de protecció de dades. A més, el Àrea d'Administracions Públiques de la web de l'Agència recull més recursos disponibles, com les recents Orientacions per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals .
