L'Agència Espanyola de Protecció de Dades (
Dirigit als organismes de les Administracions Públiques que promoguin projectes normatius que impliquin tractaments de dades personals i als seus delegats de protecció de dades, el document analitza els requisits previs que cal analitzar per saber si cal fer aquesta avaluació d'impacte, com ha de realitzar-se en cas afirmatiu i quins aspectes que s'han de tenir en compte per avaluar la qualitat de la mateixa.
L'elaboració d'una Memòria d'Impacte Normatiu (RD 931/2017) recull que l'Avaluació d'impacte ha de realitzar-se des del disseny de la norma. Per la seva banda, la Llei Orgànica de Protecció de Dades estableix que el tractament de dades personals per obligació legal, interès públic o exercici de poders públics solo puede llevarse a cabo cuando esté previsto o se derive de una competencia atribuida por una norma de Derecho de la Unión Europea o una norma con rango de ley. En caso de no existir dicha norma o no cumplir con los requisitos legales, deberá proponerse la elaboración de una norma con rango de ley que dé cobertura al tratamiento. Las Orientaciones recuerdan que el consentimiento no es, con carácter general, la base jurídica adecuada para un tratamiento establecido por norma, debido al desequilibro entre el interesado y la autoridad pública responsable.
Una vez determinado que existe una base legal para llevar a cabo el tratamiento, la evaluación de impacto de la norma debe analizar el impacto que este va a tener sobre los derechos y libertades fundamentales de las personas, individualmente y como sociedad, aportando salvaguardas organizativas, jurídicas y técnicas.
L'Agència recorda que el fet que una mesura suposi riscos per als drets no significa que la mesura no pugui proposar-se, sinó que haurà de plantejar-se de manera que superi l'Avaluació d'impacte, és a dir, que aquests riscos per a les persones hagin pogut mitigar-se adequadament i s'hagi superat l'anàlisi de necessitat, proporcionalitat i idoneïtat.
Por otro lado, aquellas iniciativas que impliquen tratamientos en los que intervengan inteligencia artificial, decisiones automatizadas, biometría, vigilancia masiva, centralización a gran escala, tratamiento masivo de datos, datos de menores, de personas vulnerables, etc., podrían implicar riesgos adicionales e impactos colaterales indeseados que deben tenerse en cuenta en la evaluación de impacto.
Com a material d'ajuda, per ajudar a la identificació de riscos per als drets i llibertats l'Agència recomana consultar la guia ‘Gestió del risc i avaluació d'impacte en tractaments de dades personals’ , la ‘Relació ‘Relació de taules de la guia de Gestió del risc i avaluació d'impacte’ , o l'eina Avalua_Risc , en la qual es troben identificats més de 130 factors de risc que apareixen en la normativa de protecció de dades. A més, el Àrea d'Administracions Públiques de la web de l'Agència recull més recursos disponibles, com les recents Orientacions per a tractaments que impliquen comunicació de dades entre Administracions Públiques davant el risc de bretxes de dades personals .