El Reglament General de Protecció de Dades (RGPD) contempla l'”Avaluació d’Impacte sobre la Protecció de Dades“.
De què estem parlant?
En aquells suposats casos de:
- Elaboració de perfils sobre la base del qual es prenen decisions que produeixin efectes jurídics sobre els interessats, o que els afectin significativament de manera similar.
- Tractament a gran escala (*) de dades sensibles.
- Observació sistemàtica a gran escala d’una zona d’accés públic.
Els responsables del tractament (el RGPD no fa menció a “fitxer”) hauran de realitzar una Avaluació d’impacte sobre la Protecció de Dades (AIPD) amb caràcter previ a la posada en marxa d’aquests tractaments que, probablement, comportin un alt risc pels drets i llibertats dels interessats, i encara que el RGPD estableixi un contingut mínim a les AIPD, no contempla cap metodologia.
Quan s’identifiqui un alt risc que no es pugui mitigar per mitjans raonables en termes de tecnologia disponible i despeses d’aplicació, els responsables del tractament hauran de consultar a l’autoritat de protecció de dades competent, que, inclús, podria arribar a prohibir l’operació de tractament.
Les autoritats estan obligades a elaborar llistes addicionals de tractaments de dades en els que haurà de fer una AIPD, així com també està previst que elaborin llistes d’aquells tractaments que no la requereixen. El fet que existeixin aquestes dues llistes no eximeix al responsable del tractament d’efectuar una anàlisi de risc.
Una AIPD pot realitzar-se per diversos tractaments similars que comportin riscos similars.
Quan les condicions del tractament canviïn, o variïn els riscos associats a ell, és possible que sigui necessària una nova AIPD.
(*) Segons el “Grup de l’article 29” el concepte “gran escala”:
- Dependrà del nombre d’interessats afectats, en termes absoluts i/o com proporció d’una determinada població.
- Del volum de dades i la varietat de dades tractades.
- De la duració o permanència de l’activitat de tractament.
- De l’extensió geogràfica de l’activitat del tractament.
