L'AEPD publica el llistat de tractaments en els quals és obligatori realitzar una avaluació d'impacte

L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el  llistat de tractaments de dades personals en els quals és obligatòria la realització d'una avaluació d'impacte . El Reglament General de Protecció de Dades (RGPD) estableix en el seu article 35.1 que les organitzacions que tracten dades tenen obligació de realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) amb anterioritat a la posada en funcionament d'aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o finalitats, comportin un alt risc per als drets i llibertats de les persones.

D'altra banda, l'apartat 4 d'aquest mateix article preveu que cada autoritat de control estableixi i publiqui una llista dels tipus d'operacions de tractament que requereixin d'una avaluació d'impacte. Aquesta llista té, per tant, la finalitat d'oferir seguretat als responsables respecte a quins són els tractaments en què sempre es considerarà que és probable que existeixi un alt risc. També d'acord amb el previst pel RGPD, la llista ha estat comunicada al Comitè Europeu de Protecció de Dades, que ha emès un dictamen favorable sobre ella, seguint els criteris establerts en la valoració de totes les llistes remeses per les autoritats nacionals.

L'Agència ha definit que serà necessari realitzar una EIPD en la majoria dels casos en els quals en els quals el tractament compleixi amb dos o més criteris de la llista, entre els quals es troben la realització de perfilat; observació, geolocalització o control de forma sistemàtica i exhaustiva; l'ús de dades biomètriques per identificar de forma unívoca a una persona; dades que permetin determinar la solvència patrimonial o processament d'identificadors únics que permetin identificar usuaris de serveis de la societat de la informació com poden ser els serveis web, televisió interactiva o aplicacions mòbils, entre altres tractaments. Quants més criteris reuneixi el tractament en qüestió, major serà el risc que comporti i major la certesa de la necessitat de realitzar una Avaluació d'impacte.

Les Avaluacions d'impacte

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Com a eina d'ajuda al compliment, l'Agència va presentar amb anterioritat a l'aplicació del RGPD les guies de  Anàlisi de Risc  i  Avaluació d'Impacte en la Protecció de Dades . La Guía de Evaluación de Impacto en la Protección de Datos ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.

Font original de la notícia