L'AEPD publica el llistat de tractaments en els quals és obligatori realitzar una avaluació d'impacte

L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el  llistat de tractaments de dades personals en els quals és obligatòria la realització d'una avaluació d'impacte . El Reglament General de Protecció de Dades (RGPD) estableix en el seu article 35.1 que les organitzacions que tracten dades tenen obligació de realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) amb anterioritat a la posada en funcionament d'aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o finalitats, comportin un alt risc per als drets i llibertats de les persones.

D'altra banda, l'apartat 4 d'aquest mateix article preveu que cada autoritat de control estableixi i publiqui una llista dels tipus d'operacions de tractament que requereixin d'una avaluació d'impacte. Aquesta llista té, per tant, la finalitat d'oferir seguretat als responsables respecte a quins són els tractaments en què sempre es considerarà que és probable que existeixi un alt risc. També d'acord amb el previst pel RGPD, la llista ha estat comunicada al Comitè Europeu de Protecció de Dades, que ha emès un dictamen favorable sobre ella, seguint els criteris establerts en la valoració de totes les llistes remeses per les autoritats nacionals.

L'Agència ha definit que serà necessari realitzar una EIPD en la majoria dels casos en els quals en els quals el tractament compleixi amb dos o més criteris de la llista, entre els quals es troben la realització de perfilat; observació, geolocalització o control de forma sistemàtica i exhaustiva; l'ús de dades biomètriques per identificar de forma unívoca a una persona; dades que permetin determinar la solvència patrimonial o processament d'identificadors únics que permetin identificar usuaris de serveis de la societat de la informació com poden ser els serveis web, televisió interactiva o aplicacions mòbils, entre altres tractaments. Quants més criteris reuneixi el tractament en qüestió, major serà el risc que comporti i major la certesa de la necessitat de realitzar una Avaluació d'impacte.

Les Avaluacions d'impacte

El Reglament estableix que en aquells casos en els quals sigui probable que els tractaments comportin un alt risc per als drets i llibertats de les persones físiques incumbeix al responsable del tractament realitzar una avaluació d'impacte relativa a la protecció de dades, que avaluï, en particular, l'origen, la naturalesa, la particularitat i la gravetat del risc.

Com a eina d'ajuda al compliment, l'Agència va presentar amb anterioritat a l'aplicació del RGPD les guies de  Anàlisi de Risc  i  Avaluació d'Impacte en la Protecció de Dades . La Guia d'Avaluació d'Impacte en la Protecció de Dades ajuda a les organitzacions a identificar les activitats que comporten un alt risc, afrontar i gestionar els possibles perills abans que produeixin i establir les mesures de control més adequades per minimitzar el mateix abans d'iniciar el tractament. En el procés de l'avaluació, l'organització ha de conèixer para quina i com es van a utilitzar les dades, identificar, avaluar i tractar els riscos potencials i elaborar un pla d'acció on s'incloguin les mesures de control per garantir els drets i llibertats de les persones.

Font original de la notícia