L'Agència Espanyola de Protecció de Dades (
, un document destinat al sector públic que aborda la necessitat de realitzar una avaluació d'impacte des del disseny quan la mesura legislativa implica el tractament de dades personals, aportant consells i recomanacions per a dur-la a terme.
Dirigit als organismes de les Administracions Públiques que promoguen projectes normatius que impliquen tractaments de dades personals i als seus delegats de protecció de dades, el document analitza els requisits previs que cal analitzar per a saber si cal fer eixa avaluació d'impacte, com ha de realitzar-se en cas afirmatiu i quins aspectes que s'han de tindre en compte per a avaluar la qualitat de la mateixa.
L'elaboració d'una Memòria d'Impacte Normatiu (RD 931/2017) arreplega que l'Avaluació d'impacte ha de realitzar-se des del disseny de la norma. Per la seua part, la Llei Orgànica de Protecció de Dades establix que el tractament de dades personals per obligació legal, interés públic o exercici de poders públics solament pot dur-se a terme quan estiga previst o es derive d'una competència atribuïda per una norma de Dret de la Unió Europea o una norma amb rang de llei. En cas de no existir aquesta norma o no complir amb els requisits legals, haurà de proposar-se l'elaboració d'una norma amb rang de llei que done cobertura al tractament. Les Orientacions recorden que el consentiment no és, amb caràcter general, la base jurídica adequada per a un tractament establit per norma, a causa del desequilibre entre l'interessat i l'autoritat pública responsable.
Una vegada determinat que existix una base legal per a dur a terme el tractament, l'avaluació d'impacte de la norma ha d'analitzar l'impacte que est va a tindre sobre els drets i llibertats fonamentals de les persones, individualment i com a societat, aportant salvaguardes organitzatives, jurídiques i tècniques.
L'Agència recorda que el fet que una mesura supose riscos per als drets no significa que la mesura no puga proposar-se, sinó que haurà de plantejar-se de manera que supere l'Avaluació d'impacte, és a dir, que eixos riscos per a les persones hagen pogut mitigar-se adequadament i s'haja superat l'anàlisi de necessitat, proporcionalitat i idoneïtat.
D'altra banda, aquelles iniciatives que impliquen tractaments en els quals intervenguen intel·ligència artificial, decisions automatitzades, biometria, vigilància massiva, centralització a gran escala, tractament massiu de dades, dades de menors, de persones vulnerables, etc., podrien implicar riscos addicionals i impactes col·laterals indesitjats que han de tindre's en compte en l'avaluació d'impacte.
Com a material d'ajuda, per a ajudar a la identificació de riscos per als drets i llibertats l'Agència recomana consultar la guia ‘Gestió del risc i avaluació d'impacte en tractaments de dades personals’ , la ‘Relació ‘Relació de taules de la guia de Gestió del risc i avaluació d'impacte’ , o la ferramenta Avalua_Risc , en la qual es troben identificats més de 130 factors de risc que apareixen en la normativa de protecció de dades. A més, el Àrea d'Administracions Públiques de la web de l'Agència arreplega més recursos disponibles, com les recents Orientacions per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals .
