Omet navegació

3.8. Avaluacions d'impacte de protecció de dades

El risc en l'RGPD té diverses perspectives: la primera és garantir les mesures de seguretat de conformitat en cada moment amb l'estat de la tecnologia i les condicions específiques dels tractaments de dades personals. Les avaluacions d'impacte poden definir-se com una anàlisi de riscs d'un producte, servei o sistema que encara no existeix i es vincula als principis de protecció de dades des del disseny i protecció de dades per defecte.

L'RGPD recull les avaluacions d'impacte en l'article 35:

1. Quan sigui probable que un tipus de tractament, en particular si utilitza noves tecnologies, per la seva naturalesa, abast, context o fins, comporti un risc alt per als drets i les llibertats de les persones físiques, el responsable del tractament ha de fer, abans del tractament, una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals. Una única avaluació pot abordar una sèrie d'operacions de tractament similars que comportin riscs alts similars.

2. El responsable del tractament ha de recollir l'assessorament del delegat de protecció de dades, si ha estat nomenat, en fer l'avaluació d'impacte relativa a la protecció de dades.

3. És necessària l'avaluació d'impacte relativa a la protecció de les dades a què es refereix l'apartat 1 en cas de:

a) avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques que es basa en un tractament automatitzat, com l'elaboració de perfils, i sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar;

b) tractament a gran escala de les categories especials de dades a les quals es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10, o

c) observació sistemàtica a gran escala d'una zona d'accés públic.

4. L'autoritat de control ha d'establir i publicar una llista dels tipus d'operacions de tractament que requereixin una avaluació d'impacte relativa a la protecció de dades de conformitat amb l'apartat 1. L'autoritat de control ha de comunicar aquestes llistes al Comitè al qual es refereix l'article 68.

5. L'autoritat de control també pot establir i publicar la llista dels tipus de tractament que no requereixen avaluacions d'impacte relatives a la protecció de dades. L'autoritat de control ha de comunicar aquestes llistes al Comitè.

6. Abans d'elaborar les llistes a les quals es refereixen els apartats 4 i 5, l'autoritat de control competent ha d'aplicar el mecanisme de coherència establert en l'article 63 si aquestes llistes inclouen activitats de tractament que guarden relació amb l'oferta de béns o serveis a interessats o amb l'observació del comportament d'aquests interessats en diversos estats membres, o activitats de tractament que puguin afectar substancialment la lliure circulació de dades personals en la Unió.

7. L'avaluació ha d'incloure com a mínim:

a) una descripció sistemàtica de les operacions de tractament previstes i dels fins del tractament, incloent-hi, quan escaigui, l'interès legítim perseguit pel responsable del tractament;

b) una avaluació de la necessitat i la proporcionalitat de les operacions de tractament respecte a la seva finalitat;

c) una avaluació dels riscs per als drets i llibertats dels interessats a què es refereix l'apartat 1, i

d) les mesures previstes per afrontar els riscs, incloent-hi garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals, i demostrar la conformitat amb aquest Reglament, tenint en compte els drets i els interessos legítims dels interessats i d'altres persones afectades.

8. El compliment dels codis de conducta aprovats als quals es refereix l'article 40 per part dels responsables o encarregats corresponents es s'ha de tenir degudament en compte en avaluar les repercussions de les operacions de tractament fetes per aquests responsables o encarregats, en particular a l'efecte de l'avaluació d'impacte relativa a la protecció de dades.

9. Quan escaigui, el responsable recollirà l'opinió dels interessats o dels seus representants en relació amb el tractament previst, sens perjudici de la protecció d'interessos públics o comercials o de la seguretat de les operacions de tractament.

10. Quan el tractament de conformitat amb l'article 6, apartat 1, lletres c) o e) tengui la base jurídica en el dret de la Unió o en el dret de l'Estat membre que s'apliqui al responsable del tractament, aquest dret reguli l'operació específica de tractament o conjunt d'operacions en qüestió, i ja s'hagi realitzat una avaluació d'impacte relativa a la protecció de dades com a part d'una avaluació d'impacte general en el context de l'adopció d'aquesta base jurídica, els apartats 1-7 no seran aplicables excepte si els estats membres consideren necessari avaluar prèviament les activitats de tractament.

11. En cas necessari, el responsable ha d'examinar si el tractament és conforme amb l'avaluació d'impacte relativa a la protecció de dades, almenys quan existeixi un canvi del risc que representin les operacions de tractament.

El grup de l'article 29, en el document Directrius sobre les avaluacions d'impacte en la protecció de dades introdueix criteris que poden evidenciar un risc elevat inherent a les activitats de tractament i que s'han d'avaluar i poden determinar la necessitat de fer-les.

Així, podem esmentar, entre altres:

  • Monitoratge sistemàtic (procediment utilitzat per observar o controlar els interessats, incloent-hi les dades recopilades a través de xarxes o un sistema de control d'una àrea d'accés públic);
  • Dades relatives a les persones vulnerables (els subjectes de dades vulnerables poden incloure menors, segments més vulnerables de la població que requereixen protecció especial: persones amb malalties mentals, sol·licitants d'asil o ancians, pacients).
  • Ús innovador o aplicació de solucions tecnològiques o organitzatives noves (activitats de tractament fetes usant tecnologia innovadora que pugui implicar formes noves de recopilació i ús de dades, possiblement amb un risc alt per als drets i llibertats de les persones –per exemple, combinació de l'ús de l'empremta dactilar i el reconeixement facial per millorar el control d'accés físic).

En execució de les habilitacions de l'RGPD, l'AEPD ha publicat llistes de criteris: «positiva», que li permet determinar quan fer una avaluació d'impacte relativa a la protecció de dades, i «negativa», que permet excloure aquesta obligació.

 

Llista positiva

Llista orientativa de tipus de tractaments que requereixen una avaluació d'impacte relativa a la protecció de dades segons l'article 35.4 de l'RGPD.

En el moment d'analitzar tractaments de dades serà necessari fer una avaluació d'impacte relativa a la protecció de dades en la majoria dels casos en què aquest tractament compleixi dos o més criteris de la llista exposada a continuació, llevat que el tractament es trobi en la llista de tractaments que no requereixen avaluació d'impacte relativa a la protecció de dades a què es refereix en article 35.5 de l'RGPD. Com més criteris reuneixi el tractament en qüestió, majors seran el risc que comporta aquest tractament i la certesa de la necessitat de fer una avaluació d'impacte relativa a la protecció de dades.

Aquesta llista es basa en els criteris establerts pel Grup de Treball de l'Article 29 en la guia WP248 «Directrius sobre l'avaluació d'impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament “entranya probablement un alt risc” a l'efecte de l'RGPD», els complementa i s'ha d'entendre com una llista no exhaustiva:

  1. Tractaments que impliquen elaboració de perfils o valoració de subjectes, incloent-hi la recollida de dades del subjecte en múltiples àmbits de la seva vida (acompliment a la feina, personalitat i comportament), que cobreixin diversos aspectes de la seva personalitat o sobre els seus hàbits.
  2. Tractaments que impliquen la presa de decisions automatitzades o que contribueixen en gran mesura a la presa d'aquestes decisions, incloent-hi qualsevol tipus de decisió que impedeixi a un interessat exercir un dret, accedir a un bé o un servei o formar part d'un contracte.
  3. Tractaments que impliquin l'observació, la monitorització, la supervisió, la geolocalització o el control de l'interessat de manera sistemàtica i exhaustiva, incloent-hi la recollida de dades i metadades a través de xarxes, aplicacions o en zones d'accés públic, així com el processament d'identificadors únics que permetin la identificació d'usuaris de serveis de la societat de la informació com poden ser els serveis web, TV interactiva, aplicacions mòbils, etc.
  4. Tractaments que impliquen l'ús de categories especials de dades a què es refereix l'article 9.1 de l'RGPD, dades relatives a condemnes o infraccions penals a les quals es refereix l'article 10 de l'RGPD o dades que permeten determinar la situació financera o de solvència patrimonial o deduir informació sobre les persones relacionada amb categories especials de dades.
  5. Tractaments que impliquen l'ús de dades biomètriques amb el propòsit d'identificar de manera única una persona física.
  6. Tractaments que impliquen l'ús de dades genètiques per a qualsevol fi.
  7. Tractaments que impliquen l'ús de dades a gran escala. Per determinar si un tractament es pot considerar a gran escala, es consideraran els criteris establerts en la guia WP243 «Directrius sobre els delegats de protecció de dades (DPD)» del Grup de Treball de l'Article 29.
  8. Tractaments que impliquen l'associació, la combinació o l'enllaç de registres de bases de dades de dos o més tractaments amb finalitats diferents o per part de responsables diferents.
  9. Tractaments de dades de subjectes vulnerables o en risc d'exclusió social, incloent-hi dades de menors de 14 anys, majors amb algun grau de discapacitat, discapacitats, persones que accedeixen a serveis socials i víctimes de violència de gènere, així com els seus descendents i persones que estiguin sota la seva guàrdia i custòdia.
  10. Tractaments que impliquen la utilització de noves tecnologies o un ús innovador de tecnologies consolidades, incloent-hi la utilització de tecnologies a una escala nova, amb un objectiu nou o combinades amb altres, de manera que suposin formes noves de recollida i utilització de dades amb risc per als drets i les llibertats de les persones.
  11. Tractaments de dades que impedeixen als interessats exercir els seus drets, utilitzar un servei o executar un contracte, com tractaments en què les dades han estat recopilades per un responsable diferent del que les tractarà i que aplica alguna de les excepcions sobre la informació que ha de proporcionar-se als interessats segons l'article 14.5 (b, c, d) de l'RGPD.

 

Llista negativa

En la llista següent s'estableixen els tractaments exempts d'AIPD, sens perjudici d'altres obligacions que s'estableixen en l'RGPD. Per tant, no és una llista d'exempció de les obligacions que estableix la normativa de protecció de dades sobre els tractaments de dades personals.

Aquesta llista es basa en el document WP 248 i el complementa per ajudar els responsables a determinar quins tractaments no requereixen una AIPD.

  1. Tractaments que es fan estrictament sota les directrius establertes o autoritzades amb anterioritat mitjançant circulars o decisions emeses per les autoritats de control, en particular l'AEPD, sempre que el tractament no s'hagi modificat d'ençà que va ser autoritzat.
  2. Tractaments que es fan estrictament sota les directrius de codis de conducta aprovats per la Comissió Europea o les autoritats de control, en directrius sobre l'avaluació d'impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament «entranya probablement un alt risc» a l'efecte del Reglament (UE), 2016/679, particularment l'AEPD, sempre que s'hagi fet una AIPD completa per validar el codi de conducta i el tractament s'implementa incloent-hi les mesures i les salvaguardes definides en l'AIPD.
  3. Tractaments que siguin necessaris per al compliment d'una obligació legal o una missió duita a terme en interès públic o en l'exercici de poders públics conferits al responsable, sempre que en el mateix mandat legal no s'obligui a fer una AIPD, i sempre que ja s'hagi realitzat una AIPD completa.
  4. Tractaments duits a terme en l'exercici de la seva tasca professional per treballadors autònoms que exerceixin de manera individual, en particular metges, professionals de la salut o advocats, sens perjudici que pugui requerir-se quan el tractament que duguin a terme compleixi, de manera significativa, dos o més criteris establerts en la llista de tipus de tractaments de dades que requereixen avaluació d'impacte relativa a protecció de dades publicada per l'AEPD.
  5. Tractaments obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb fins de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
  6. Tractaments realitzats per comunitats i subcomunitats de propietaris, tal com es defineixen en l'article 2 (a, b i d) de la Llei 49/1960, de propietat horitzontal.
  7. Tractaments fets per col·legis professionals i associacions sense ànim de lucre per gestionar les dades personals dels seus propis associats i donants, i en l'exercici de la seva tasca, sempre que no incloguin en el tractament dades sensibles com ara les que s'estableixen en l'article 9.1 de l'RGPD i no sigui aplicable l'article 9.2 (d) d'aquest Reglament.

Per facilitar la realització d'aquestes avaluacions, l'AEPD ha publicat la Guia pràctica per a les avaluacions d'impacte en la protecció de dades subjectes a l'RGPD.

Aquestes avaluacions han de fer-se abans del tractament, per bé que el mandat de l'RGPD no s'estén a les operacions de tractament que ja estiguin en curs en el moment en què comenci a ser aplicable. Tanmateix, sí que hauria de fer-se una avaluació quan en una operació iniciada abans de l'aplicació de l'RGPD s'hagin produït canvis en els riscs que el tractament implica en relació amb el moment en què es va posar en marxa el tractament.

D'altra banda, cal assenyalar que a l'hora de fer una AIPD, s'ha de disposar d'una metodologia que consideri els requisits exigits per l'RGPD en l'article 35.7, en el qual s'indica que com a mínim ha de ser:

  • Una descripció sistemàtica de l'activitat de tractament prevista.
  • Una avaluació de la necessitat i la proporcionalitat del tractament respecte a la seva finalitat.
  • Una avaluació dels riscs.
  • Les mesures previstes per afrontar els riscs, incloent-hi garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals.

 L'estructura amb les diferents etapes d'una avaluació i el flux que cal seguir en l'execució podria ser la següent: 

eipd

De la mateixa manera que s'ha esmentat en l'anàlisi de riscs, en les avaluacions d'impacte també és necessari tenir una política de revisió i anàlisi dels riscs continuada, duent a terme auditories periòdiques en què es posi de manifest l'eficàcia de les mesures que s'hagin adoptat per minimitzar els riscs dels tractaments i en especial els riscs per als drets i les llibertats dels interessats. En definitiva, l'enfocament de riscs implica un procés de revisió i millora contínua de les activitats de tractament.