L'AEPD publica el llistat de tractaments en els quals és obligatori realitzar una avaluació d'impacte

L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el  llistat de tractaments de dades personals en els quals és obligatòria la realització d'una avaluació d'impacte . El Reglament General de Protecció de Dades (RGPD) establix en el seu article 35.1 que les organitzacions que tracten dades tenen obligació de realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) amb anterioritat a la posada en funcionament d'aquests tractaments quan siga probable que, en funció de la seua naturalesa, abast, context o finalitats, comporten un alt risc per als drets i llibertats de les persones.

D'altra banda, l'apartat 4 d'eixe mateix article preveu que cada autoritat de control establisca i publique una llista dels tipus d'operacions de tractament que requerisquen d'una avaluació d'impacte. Esta llista té, per tant, la finalitat d'oferir seguretat als responsables respecte a quins són els tractaments en què sempre es considerarà que és probable que existisca un alt risc. També d'acord amb el previst pel RGPD, la llista ha sigut comunicada al Comité Europeu de Protecció de Dades, que ha emès un dictamen favorable sobre ella, seguint els criteris establits en la valoració de totes les llistes remeses per les autoritats nacionals.

L'Agència ha definit que serà necessari realitzar una EIPD en la majoria dels casos en els quals en els quals el tractament complisca amb dos o més criteris de la llista, entre els quals es troben la realització de perfilat; observació, geolocalització o control de forma sistemàtica i exhaustiva; l'ús de dades biomètriques per a identificar de forma unívoca a una persona; dades que permeten determinar la solvència patrimonial o processament d'identificadors únics que permeten identificar usuaris de servicis de la societat de la informació com poden ser els servicis web, televisió interactiva o aplicacions mòbils, entre altres tractaments. Quants més criteris reunisca el tractament en qüestió, major serà el risc que comporte i major la certesa de la necessitat de realitzar una Avaluació d'impacte.

Les Avaluacions d'impacte

El Reglament establix que en aquells casos en els quals siga probable que els tractaments comporten un alt risc per als drets i llibertats de les persones físiques incumbix al responsable del tractament realitzar una avaluació d'impacte relativa a la protecció de dades, que avalue, en particular, l'origen, la naturalesa, la particularitat i la gravetat del risc.

Com a ferramenta d'ajuda al compliment, l'Agència va presentar amb anterioritat a l'aplicació del RGPD les guies de  Anàlisi de Risc  i  Avaluació d'Impacte en la Protecció de Dades . La Guia d'Avaluació d'Impacte en la Protecció de Dades ajuda a les organitzacions a identificar les activitats que comporten un alt risc, afrontar i gestionar els possibles perills abans que produïsquen i establir les mesures de control més adequades per a minimitzar el mateix abans d'iniciar el tractament. En el procés de l'avaluació, l'organització ha de conéixer para quina i com es van a utilitzar les dades, identificar, avaluar i tractar els riscos potencials i elaborar un pla d'acció on s'incloguen les mesures de control per a garantir els drets i llibertats de les persones.

Font original de la notícia