Les Avaluacions d’Impacte en la protecció de dades personals

Suport Associatiu - Jurídic
Autor/a: 
Albert Sixto
La llei de protecció de dades obliga a complir amb unes mesures de seguretat en funció del risc de les dades que tracti l'entitat.
La llei de protecció de dades obliga a complir amb unes mesures de seguretat en funció del risc de les dades que tracti l'entitat. Font: Unsplash.
L'Avaluació d’Impacte és una eina de caràcter preventiu. Font: Unsplash.

Les Avaluacions d’Impacte en la protecció de dades personals

Suport Associatiu - Jurídic
Resum: 

La nova normativa de protecció de dades estableix mesures de control addicionals per a determinades entitats que tractin dades personals.

El nou Reglament General de Protecció de Dades Personals (RGPD) estableix que el tractament de certes categories de dades que comporten un alt risc per als drets i llibertats de les persones i requerirà l’adopció de determinades mesures especials de control.

Què és l’Avaluació d’Impacte?

Una d’aquestes mesures és l’Avaluació d’Impacte, eina de caràcter preventiu que servirà per a identificar, avaluar i gestionar les activitats de tractament. A la pràctica, l’Avaluació d’Impacte permetrà determinar el nivell de risc que comporta un tractament amb la finalitat d’establir aquelles mesures de control més adients per a reduir els riscos a un nivell acceptable.

Quan és necessària?

Cal destacar que l’article 35.3 del RGPD estableix una llista no exhaustiva de supòsits en que l’Avaluació d’Impacte és necessària. A més, la llei preveu que les autoritats de control elaborin llistes de supòsits en els que caldrà realitzar una Avaluació d’Impacte, les quals encara no han estat publicades.

Això suposa que no totes les entitats estan obligades a dur a terme una Avaluació d’Impacte, si bé aquesta es pot realitzar de forma voluntària, la qual cosa permetria acreditar el compliment del RGPD davant d’aquells organismes que sol·licitin probes del mateix.

Passos a seguir

El primer pas per a realitzar un Avaluació d’Impacte és definir una metodologia, la qual haurà de contenir, com a mínim, següents punts:

  • Descripció de les dades personals que tracta l’entitat, detallant el seu cicle de vida, el flux de les mateixes en el tractament i aquelles persones o elements que intervenen durant les activitats de tractament.
  • Avaluació de la necessitat i proporcionalitat del tractament, per la qual cosa l’entitat haurà de plantejar-se les següents qüestions: Què es farà amb les dades i amb quina finalitat? Quines dades es tractaran? Són necessàries totes les dades? De qui són les dades a tractar?
  • Identificació i avaluació dels riscos. Les amenaces principals per al tractament de dades personals és poden resumir en l’accés il·legítim a dades confidencials, modificació no autoritzada de dades i eliminació de les dades.
  • Adopció de les mesures de control per a minimitzar els riscos. Aquestes mesures es poden dividir en:
  • Organitzatives: mesures associades a l’organització i processos dins de l’entitat, com per exemple els procediments per a exercir els drets dels interessats o els protocols per a gestionar incidents.
  • Legals: Mesures associades al compliment de la RGPD, com la incorporació de clàusules als contractes i altra documentació de l’entitat.
  • Tècniques: Mesures que garanteixin la seguretat de les dades, tals com controls d’accés o xifrats.

L’últim pas per a la realització d’una Avaluació d’Impacte és l’elaboració d’un pla d’acció on es descriguin aquelles mesures de control definides per a mitigar i combatre els riscos identificats.