Les Autoritats de Control han publicat els llistats orientatius dels tipus de tractaments que requereixen una avaluació d’impacte relativa a la protecció de dades

L’Avaluació d’Impacte de Protecció de Dades (en endavant, l’AIPD) és una eina de caràcter preventiu que ha de realitzar el responsable del tractament amb caràcter previ a la posada en marxa d’un tractament de dades que comporti un alt risc pels drets i llibertats dels interessats o en aquells tractaments de dades iniciats amb anterioritat a la data d’aplicació del Reglament (UE) 679/2016, de Protecció de Dades Personals (RGPD), quan el resultat de l’anàlisi de riscos indiqui que el tractament presenta un alt risc pels drets i llibertats dels interessats, segons la normativa, el risc es veurà augmentat quan s’utilitzin noves tecnologies.

L’objectiu de l’AIPD és poder identificar, avaluar i gestionar els riscos a què estan exposades les seves activitats de tractament, amb la finalitat de preservar els drets i llibertats de les persones físiques. Aquesta obligació està en consonància amb el principi de privacitat, que contempla analitzar un tractament des de la seva fase de disseny i garantir una adequada gestió dels riscos, a més de complir amb els principis de necessitat i proporcionalitat.

En quins casos s’ha de realitzar una AIPD?

Per determinar l’obligatorietat de realitzar una AIPD cal valorar si l’activitat de tractament s’inclou en un dels següents supòsits definits en l’article 35 del RGPD:

  • Avaluació sistemàtica i exhaustiva d’aspectes personals d’una persona física, com l’elaboració de perfils.
  • Tractaments a gran escala de dades de categories especials o relatives a condemnes o infraccions penals.
  • Observació sistemàtica a gran escala d’una zona d’accés públic.
  • Les Autoritats de Control publicaran un llistat dels tipus d’operacions de tractament que requereixin AIPD. Recentment, l’Autoritat Catalana de Protecció de Dades (ApdCat) i l’Autoritat Espanyola de Protecció de Dades (AEPD) han publicat el llistat de tipus de tractaments de dades que requereixen AIPD, basant-se en els nou criteris definits en les “Directrius sobre Avaluació d’Impacte en matèria de protecció de dades del Grup de l’article 29 WP 248”, el llistat complementa els nou criteris i n’afegeix dos més. Les Autoritats defineixen que serà necessari realitzar una AIPD quan compleixin amb dos o més criteris del següent llistat orientatiu:

 

  1. Tractaments que impliquin perfilat o valoració de subjectes en tots els àmbits de la vida de l’interessat.
  2. Tractaments que impliquin la presa de decisions automatitzades o que contribueixin en gran mesura a la presa d’aquestes decisions, incloent qualsevol tipus de decisió que impedeixi a un interessat exercir un dret o tenir accés a un bé o un servei o formar part d’un contracte.
  3. Tractaments que impliquin l’observació, monitorització, supervisió, geolocalització o control de l’interessat de forma sistemàtica i exhaustiva, inclosa la recollida de dades i metadades a través de xarxes, aplicacions o en zones d’accés públic, així com el processament d’identificadors únics que permetin la identificació d’usuaris de serveis de la societat de la informació com poden ser els serveis web, TV interactiva, aplicacions mòbils, etc.
  4. Tractaments que impliquin l’ús de categories especials de dades, dades relatives a condemnes o infraccions penals o dades que permetin determinar la situació financera o de solvència patrimonial o deduir informació sobre les persones relacionada amb categories especials de dades.
  5. Tractaments que impliquin l’ús de dades biomètriques amb el propòsit d’identificar de manera única a una persona física.
  6. Tractaments que impliquin l’ús de dades genètiques per a qualsevol fi.
  7. Tractaments que impliquin l’ús de dades a gran escala.
  8. Tractaments que impliquin l’associació, combinació o enllaç de registres de bases de dades de dos o més tractaments amb finalitats diferents o per responsables diferents.
  9. Tractaments de dades de subjectes vulnerables o en risc d’exclusió social, incloent dades de menors de 14 anys, majors amb algun grau de discapacitat, discapacitats, persones que accedeixen a serveis socials i víctimes de violència de gènere, així com els seus descendents i persones que estiguin sota la seva guàrdia i custòdia.
  10. Tractaments que impliquin la utilització de noves tecnologies o un ús innovador de tecnologies consolidades, incloent la utilització de tecnologies a una nova escala, amb un nou objectiu o combinades amb altres, de manera que suposi noves formes de recollida i utilització de dades amb risc pels drets i llibertats de les persones.
  11. Tractaments de dades que impedeixin als interessats exercir els seus drets, utilitzar un servei o executar un contracte, com ara tractaments en què les dades han estat recopilades per un responsable diferent al que els va a tractar i és d’aplicació alguna de les excepcions sobre la informació que s’ha de proporcionar als interessats segons l’article 14.5 (b, c, d) de l’RGPD.

 

Podeu revisar els llistats publicats als següents links que redirigeixen als llocs web de les Autoritats de control:

Lista DPIA

Listado AEPD

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies