La CNIL publica la llista de tractaments de Dades Personals per als quals es requereix l’anàlisi d’una avaluació d’impacte
L’article 35.1 del Reglament General de Protecció de Dades estableix l’obligatorietat pel responsable del tractament de realitzar una avaluació d’impacte quan sigui probable que el tipus de tractament de dades personals comporti un alt risc pels drets i llibertats de les persones físiques, ja sigui per la utilització de noves tecnologies, per la naturalesa, abast, context o fins del tractament. L’apartat 4 del mateix article preveu que l’autoritat de control establirà i publicarà una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte referent a la protecció de dades. Les autoritats de control que operen en el nostre territori, Agencia Española de Protección de Datos i Autoritat Catalana de Protecció de Dades, a la data del present article, no han publicat cap llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte.
La CNIL, Commission nationale de l’informatique et des libertés (Comissió Nacional d’Informàtica i Llibertats de França), que és l’autoritat de control francesa en matèria de protecció de dades, va publicar el passat 6 de novembre de 2018 la llista definitiva dels tractaments per als quals es requereix l’anàlisi d’una avaluació d’impacte referent a la protecció de dades, publicada en el JORF, Journal officiel de la République française (Diari Oficial de la República Francesa), el 6 de novembre de 2018. Prèviament a la publicació de la llista, es va presentar al Comitè Europeu de Protecció de Dades (CEPD) el projecte de llista; el Comitè Europeu va informar a finals de setembre una opinió sobre 22 llistes de projectes desenvolupats per les autoritats nacionals de protecció de dades, entre les que està inclosa la llista francesa.
En base amb el principi de coherència entre els estats membres de la UE, aquesta llista de tractaments per als quals es requereix l’anàlisi d’una avaluació d’impacte publicada per la CNIL pot servir de criteri pels tractaments realitzats pels Responsables del tractament establerts al nostre territori.
Es pot trobar la documentació completa en el següent enllaç.
Del llistat publicat, destaquem en el quadre següent els tractaments de dades de salut que requeriran una avaluació d’impacte referent a la protecció de dades.
| Tipus d’operacions de tractament | Criteris de les directrius del CEPD que compleixen | Exemples |
|---|---|---|
| Processament de dades sanitàries realitzades per establiments sanitaris o institucions sociosanitàries per a la cura de persones. | · Recopilació de dades sensibles. · Les anomenades “persones vulnerables”. |
· Tractaments sanitaris implementats per Establiments sanitaris (hospitals, clíniques, entre d’altres): fitxers pacients; algoritmes de decisió mèdica; sistemes de vigilància I gestió de riscos; dispositius de telemedicina; gestió de biologia i farmàcia mèdica per ús interior; etc. · Tractament relatiu als arxius dels residents amb el suport d’un centre d’acció social municipal o d’un centre d’atenció residencial per a persones grans dependents. |
| Tractaments relacionats amb dades genètiques de les anomenades persones “vulnerables” (pacients, empleats, nens, etc.). | · Recopilació de dades sensibles. · Les anomenades “persones vulnerables”. |
· Implementació d’investigacions mediques relacionades amb pacients i incloent-hi el tractament de les seves dades genètiques. · Tractament utilitzat per a la gestió d’una consulta genètica en un centre de salut. |
| Tractaments a l’efecte de la gestió d’alertes i alertes en matèria social i sanitària. | · Les anomenades “persones vulnerables”. · Avaluació o valoració. · Recopilació de dades sensibles. |
· Dispositiu per informar de menors en perill. · Tractament utilitzat per una agència de salut per a la gestió d’una crisi sanitària o alerta sanitària. · Sistema per informar situacions abusives sobre persones vulnerables (persones grans, persones amb discapacitat, entre d’altres). |
| Tractaments per a dades de salut necessàries per construir un arxiu o registre de dades. | · Recopilació de dades sensibles. · Les anomenades “persones vulnerables”. |
Arxiu de dades sanitàries implementat per un centre de salut o una persona privada, per servir a la recerca. |
| Tractaments amb finalitats de suport social o sociosanitàries per a persones. | · Recopilació de dades sensibles. · Avaluació o valoració. · Les anomenades “persones vulnerables”. |
· Tractament implementat per una institució o una associació en el context de la cura de persones en integració social o professional o reintegració. · El tractament realitzat per les cases departaments de les persones amb discapacitat com a part de la recepció, allotjament, acompanyament i seguiment d’aquestes persones. · Tractament implementat per un centre comunitari d’acció social en el marc del seguiment de persones amb patologies cròniques inhabilitadores en situació de fragilitat social. |
@ Faura-Casas
Serveis
Faura-Casas es Membre independent de BKR International, una associació global líder de comptabilitat independent i firmes de serveis a empreses, representant a més de 150 firmes amb més de 300 oficines en més de 70 països al voltant del món.
Contacte
Paseo de la Castellana, 123, 9º C. 28046 Madrid
