Legal – Avaluacions d’impacte en matèria de Protecció de Dades. Què són?

Legal – Avaluacions d’impacte en matèria de Protecció de Dades. Què són?

Les Avaluacions d’impacte (AIPD), estan orientades a assegurar, de forma preventiva, respecte les operacions de tractament que puguin comportar riscos especialment rellevants (alt risc), que es prenguin mesures per reduir, en la mesura de lo possible, el risc a danyar o perjudicar a les persones, o afectar negativament els seus drets i llibertats, impedint o limitant el seu exercici o contingut.

Als efectes, el responsable del tractament té l’obligació de considerar, des de l’inici, a la fase de  disseny, totes les accions preventives suficients per poder identificar, avaluar i tractar els riscos associats al tractament de dades personals i poder assegurar els principis de protecció de les dades tot, garantint els drets i llibertats dels interessats.

Per determinar la necessitat de fer una AIPD, el Responsable del tractament ha de fer un primer anàlisi:

  • Quines dades tractaré i de qui? Ha d’elaborar una llista exhaustiva de totes les dades que puguin ésser objecte de les diferents operacions de tractament, per exemple: nom, cognoms, data de naixement, telèfon de contacte, adreça correu electrònic, imatge, dades biomètriques, dades de salut, etc.
  • Ha de saber si es preveu tractar dades de menors, persones en situació vulnerable o altres circumstàncies especials.
  • Quina finalitat tenen aquestes dades, és a dir, ha d’identificar quines operacions de tractament es realitzaran amb les dades recollides: recollida, emmagatzemat, anonimització, consulta, modificació, supressió
  • I, quines tecnologies o mitjans, farà servir per tractar-les. S’ha de tenir especial atenció a l’ús de tecnologies considerades invasives, per exemple:
    • Videovigilància a gran escala
    • Aeronaus no tripulades (drons)
    • Vigilància electrònica (micròfons ocults, càmeres, dispositius de localització GPS)
    • Mineria de dades que provenen de la intel·ligència artificial i la estadística, BIG DATA.
    • Biometria: dades personals obtingudes a partir d’un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d’una persona física, que permeten o confirmin la identificació única d’una persona , per exemple: empremta dactilar, reconeixement de l’iris, de la geometria de la mà, de retina, reconeixement de la signatura, de l’escriptura per mitjà d’un software determinat, reconeixement de veu, etc.
    • Tècniques genètiques, que permeten recollir dades personals relatives a les característiques genètiques o adquirides d’una persona física, proporcionant una informació única sobre la fisiologia o la salut d’aquesta persona, obtingudes de l’anàlisi d’una mostra biològica (exemple, anàlisi d’ADN).
    • Geolocalització

Amb caràcter general, s’ha d’executar AIPD quan un tractament pugui suposar un alt risc pels drets i llibertats de les persones físiques i si s’utilitzen noves tecnologies. Per drets i llibertats, ens referim a tots els reconeguts com a fonamentals pel nostre ordenament jurídic. Es pot produir una vulneració greu als drets i llibertats fonamentals, per exemple:

  • La puntuació de persones, elaboració de perfils i la predicció de conductes o comportaments: es considera que s’elaboren perfils quan els aspectes personals de la persona són avaluats per fer prediccions sobre la persona. Per exemple, si una empresa o organització avalua les característiques d’una persona (edat, sexe, alçada) o la inclou en una categoria.
  • Presa automatitzada de decisions, és a dir, es prenen decisions sobre la persona per mitjans tecnològics sense la intervenció humana. Les persones físiques tenen dret a no ésser objecte d’una decisió basada només en mitjans automatitzats, si la decisió en qüestió produeix efectes jurídics (per exemple, el dret de vot). En aquests casos, s’ha de facilitar a la persona l’exercici del seu dret a obtenir intervenció humana i la possibilitat d’impugnar la decisió.
  • Quan es revelen categories especials de dades personals o relatives a condemnes i infraccions penals, durant el tractament.
  • Tractament de dades a gran escala (es persegueix tractar una quantitat considerable de dades personals en l’àmbit regional, nacional o supranacional i que poden afectar a un gran número d’interessats.
  • Quan es tracten les dades personals de col·lectius especialment vulnerables, inclosos els menors.

Exemples d’entitats obligades a fer una AIPD:

  • Farmacèutiques
  • Hospitals i clíniques
  • Seguretat privada, vigilància i control
  • Comercialitzadores d’energia
  • Empreses que realitzin e-commerce
  • Empreses de biotecnologia que ofereixin proves genètiques directament als consumidors per avaluar i predir els riscos de malaltia/salut, millora de rendiment esportiu, etc.
  • Empreses que realitzin perfils de comportament o de publicitat basats en preferències o interessos derivats de la navegació per Internet
  • Empresa que mitjançant software avalua conductes o comportaments de rendiment en el treball (absentisme, productivitat, eficiència, formació) i prengui decisions que afectin significativament al treballador (acomiadaments, canvis de llocs de treball)
  • Entitats bancàries que, per aconseguir crèdit, investiguen als seus clients

Quin és el contingut mínim d’una Avaluació d’Impacte?

Alhora de fer una Avaluació d’Impacte, s’ha de disposar d’una metodologia que tingui en compte els requisits exigits per la llei, en concret l’article 35.7 del RGPD que diu que inclourà com a mínim:

  • Una descripció sistemàtica de l’activitat de tractament previstes
  • Una avaluació de la necessitat i proporcionalitat del tractament respecte la seva finalitat
  • Una avaluació dels riscos (identificació, anàlisi i valoració dels riscos)
  • Les mesures previstes per afrontar els riscos, incloses les garanties, les mesures de seguretat i tots els mecanismes que garanteixin la protecció de les dades personals.

Qui és l’obligat  a realitzar la AIPD?

El Responsable del tractament.

Existeixen tractaments exempts a l’Avaluació d’Impacte, quins són?

  • Els tractaments realitzats sota les directrius de codis de conducta
  • Quan els tractaments siguin necessaris per l’acompliment d’una obligació legal
  • Quan els tractaments són realitzats per professionals autònoms i exerceixen de forma individual (per exemple, metges, professionals de la salut o advocats)
  • Tots aquells tractaments obligatoris en relació a la gestió interna de personal de las PIMES (comptabilitat, gestió de RRHH i nòmines, seguretat socials i salut laboral) no essent exemptes les relatives a les dades dels clients.
  • Els tractaments realitzats per les comunitats de propietaris
  • Els tractaments realitzats per col·legis professionals i associacions sense ànim de lucre per la gestió de les dades personals dels seus propis associats i donants

Per exemple, un metge de família que tracta dades personals dels seus pacients, no necessitaria realitzar una Avaluació d’impacte perquè el tractament per part dels metges de família no es porta a terme a gran escala, doncs el número de pacients és limitat.

Hi ha sanció per incompliment d’aquesta obligació?

No fer la AIPD quan sigui obligatòria pel Responsable del tractament en atenció a les dades personals tractades o no fer-ho de manera correcta, podria suposar la comissió d’una infracció amb una possible sanció, en el cas d’empreses, de multa administrativa de 10.000.000 € o una quantia equivalent al 2% com a màxim del volum de negoci total anual global de l’exercici financer anterior, agafant el de major quantia

Com sempre, per a qualsevol dubte o més informació sobre aquest post, així com si està interessat / da en conèixer millor la nostra organització i els nostres serveis, pot sol·licitar cita prèvia, telèfon 934674467 en horari de 8:00 a 17:00 hores de dilluns a dijous i divendres de 8 a 14:00 hores.

Si vol rebre les nostres novetats, subscriviu-vos a la nostra newsletter

Share this