Les Autoritats de Control han publicat els llistats orientatius dels tipus de tractaments que requereixen una avaluació d’impacte relativa a la protecció de dades

L’Avaluació d’Impacte de Protecció de Dades (en endavant, l’AIPD) és una eina de caràcter preventiu que ha de realitzar el responsable del tractament amb caràcter previ a la posada en marxa d’un tractament de dades que comporti un alt risc pels drets i llibertats dels interessats o en aquells tractaments de dades iniciats amb anterioritat a la data d’aplicació del Reglament (UE) 679/2016, de Protecció de Dades Personals (RGPD), quan el resultat de l’anàlisi de riscos indiqui que el tractament presenta un alt risc pels drets i llibertats dels interessats, segons la normativa, el risc es veurà augmentat quan s’utilitzin noves tecnologies.

L’objectiu de l’AIPD és poder identificar, avaluar i gestionar els riscos a què estan exposades les seves activitats de tractament, amb la finalitat de preservar els drets i llibertats de les persones físiques. Aquesta obligació està en consonància amb el principi de privacitat, que contempla analitzar un tractament des de la seva fase de disseny i garantir una adequada gestió dels riscos, a més de complir amb els principis de necessitat i proporcionalitat.

En quins casos s’ha de realitzar una AIPD?

Per determinar l’obligatorietat de realitzar una AIPD cal valorar si l’activitat de tractament s’inclou en un dels següents supòsits definits en l’article 35 del RGPD:

  • Avaluació sistemàtica i exhaustiva d’aspectes personals d’una persona física, com l’elaboració de perfils.
  • Tractaments a gran escala de dades de categories especials o relatives a condemnes o infraccions penals.
  • Observació sistemàtica a gran escala d’una zona d’accés públic.
  • Les Autoritats de Control publicaran un llistat dels tipus d’operacions de tractament que requereixin AIPD. Recentment, l’Autoritat Catalana de Protecció de Dades (ApdCat) i l’Autoritat Espanyola de Protecció de Dades (AEPD) han publicat el llistat de tipus de tractaments de dades que requereixen AIPD, basant-se en els nou criteris definits en les “Directrius sobre Avaluació d’Impacte en matèria de protecció de dades del Grup de l’article 29 WP 248”, el llistat complementa els nou criteris i n’afegeix dos més. Les Autoritats defineixen que serà necessari realitzar una AIPD quan compleixin amb dos o més criteris del següent llistat orientatiu:

 

  1. Tractaments que impliquin perfilat o valoració de subjectes en tots els àmbits de la vida de l’interessat.
  2. Tractaments que impliquin la presa de decisions automatitzades o que contribueixin en gran mesura a la presa d’aquestes decisions, incloent qualsevol tipus de decisió que impedeixi a un interessat exercir un dret o tenir accés a un bé o un servei o formar part d’un contracte.
  3. Tractaments que impliquin l’observació, monitorització, supervisió, geolocalització o control de l’interessat de forma sistemàtica i exhaustiva, inclosa la recollida de dades i metadades a través de xarxes, aplicacions o en zones d’accés públic, així com el processament d’identificadors únics que permetin la identificació d’usuaris de serveis de la societat de la informació com poden ser els serveis web, TV interactiva, aplicacions mòbils, etc.
  4. Tractaments que impliquin l’ús de categories especials de dades, dades relatives a condemnes o infraccions penals o dades que permetin determinar la situació financera o de solvència patrimonial o deduir informació sobre les persones relacionada amb categories especials de dades.
  5. Tractaments que impliquin l’ús de dades biomètriques amb el propòsit d’identificar de manera única a una persona física.
  6. Tractaments que impliquin l’ús de dades genètiques per a qualsevol fi.
  7. Tractaments que impliquin l’ús de dades a gran escala.
  8. Tractaments que impliquin l’associació, combinació o enllaç de registres de bases de dades de dos o més tractaments amb finalitats diferents o per responsables diferents.
  9. Tractaments de dades de subjectes vulnerables o en risc d’exclusió social, incloent dades de menors de 14 anys, majors amb algun grau de discapacitat, discapacitats, persones que accedeixen a serveis socials i víctimes de violència de gènere, així com els seus descendents i persones que estiguin sota la seva guàrdia i custòdia.
  10. Tractaments que impliquin la utilització de noves tecnologies o un ús innovador de tecnologies consolidades, incloent la utilització de tecnologies a una nova escala, amb un nou objectiu o combinades amb altres, de manera que suposi noves formes de recollida i utilització de dades amb risc pels drets i llibertats de les persones.
  11. Tractaments de dades que impedeixin als interessats exercir els seus drets, utilitzar un servei o executar un contracte, com ara tractaments en què les dades han estat recopilades per un responsable diferent al que els va a tractar i és d’aplicació alguna de les excepcions sobre la informació que s’ha de proporcionar als interessats segons l’article 14.5 (b, c, d) de l’RGPD.

 

Podeu revisar els llistats publicats als següents links que redirigeixen als llocs web de les Autoritats de control:

Lista DPIA

Listado AEPD

Facebooktwittergoogle_pluslinkedinmail

Enhorabona als guanyadors dels premis de protecció de dades de l’AEPD

El passat 28 de gener l’Agència Espanyola de Protecció de Dades (AEPD) va publicar els guanyadors dels premis de protecció de dades en el seu web, després d’haver rebut un total de 68 candidatures entre les diferents categories.

L’AEPD adjudica el premi de comunicació de protecció de dades personals a Mediaset España, per la campanya de difusió i promoció entre els ciutadans dels principis del dret fonamental a la protecció de dades. (more…)

Facebooktwittergoogle_pluslinkedinmail

Segons l’AEPD, els auditors de comptes i societats d’auditoria són responsables del tractament de les dades

L’AEPD ha resolt la consulta plantejada per part dels auditors de comptes i societats d’auditoria respecte a determinar si aquests actuen com a encarregats del tractament de l’entitat auditada o com a responsables. La interpretació de l’autoritat suposa un canvi de paradigma en la línia seguida fins al moment per part de la gran majoria d’experts en la matèria, els quals sostenien que els auditors eren encarregats del tractament i no pas responsables del tractament. En base a la recent decisió de l’AEPD però es conclou que els auditors de comptes i les societats d’auditoria actuen com a responsables del tractament. El criteri definidor de la condició de responsable del tractament es fonamenta en l’imperatiu legal que faculta a l’auditor com a figura independent, no sotmesa a possibles instruccions del seu client.  Pel moment, l’AEPD no ha entrat a valorar ni a diferenciar si l’auditoria externa es realitza per obligació legal o, si aquesta es duu a terme de forma potestativa per part de l’entitat. (more…)

Facebooktwittergoogle_pluslinkedinmail

En quines complicacions es pot trobar el Delegat de Protecció de Dades?

La figura del Delegat de Protecció de Dades (en endavant, DPD) esdevé obligatòria per a organismes públics, empreses que tracten dades personals de forma intensiva o dades sensibles a gran escala. En els supòsits en què la designació d’un DPD no esdevé imperiosa, l’empresa pot decidir implantar la figura com ajuda al compliment de la normativa de protecció de dades.

El DPD es pot trobar davant de diferents situacions que dificultin dur a terme les seves funcions. Seguint l’esquema publicat en l’article del blog de l’Agencia Española de Protección de Datos (AEPD), “Riesgos a los que puede enfrentarse la laboral del Delegado de Protección de Datos”, procedim a analitzar-les: (more…)

Facebooktwittergoogle_pluslinkedinmail

Novetats per a les fundacions i associacions declarades d’utilitat pública: determinació de les obligacions de transparència

El passat 17 de setembre de 2018, es va publicar al Diari Oficial de la Generalitat de Catalunya l’Ordre JUS/152/2018, de 12 de setembre, la qual estableix el nivell de subjecció de les fundacions i de les associacions declarades d’utilitat pública, sotmeses a legislació catalana, als instruments de transparència establerts per la Llei 21/2014, del 29 de desembre, del Protectorat de les fundacions i de verificació de l’activitat de les associacions declarades d’utilitat pública. (more…)

Facebooktwittergoogle_pluslinkedinmail

Novetats sobre prevenció del blanqueig de capital

El passat 5 de setembre va entrar en vigor el Reial Decret Llei 11/2018, de 31 d’agost, de transposició de les directives europees relatives a matèria de protecció dels compromisos per pensions amb els treballadors, prevenció del blanqueig de capitals i requisits d’entrada i residència de nacionals de tercers països, que modifica la Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques. (more…)

Facebooktwittergoogle_pluslinkedinmail

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies