Notícies

Guia pràctica d’avaluació en l’impacte sobre protecció de dades

Guia pràctica d’avaluació en l’impacte sobre protecció de dades

Recentment, l’Autoritat Catalana en Protecció de Dades (ADPCAT) ha publicat una Guia pràctica d’Avaluació d’impacte relativa a la protecció de dades per tal de facilitar a responsables i encarregats el compliment del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 de abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament i la lliure circulació de dades personals (d’ara endavant, RGPD).

 

Dintre de les novetats del RGPD s’ incorpora una nova obligació per als responsables de tractaments per tal d’avaluar l’impacte de les operacions de tractament en la protecció de les dades personals, quan sigui probable que el tractament comporti un risc significatiu per als drets i les llibertats de les persones.

Per tant, quan un tractament, per la seva naturalesa, abast, context o finalitats suposi un alt risc pels drets i llibertats de les persones físiques, especialment quan s’utilitzin noves tecnologies, el responsable ha de fer abans una avaluació de l’impacte en la protecció de dades (AIPD).

 

En aquests casos, el responsable del tractament ha de buscar el consell del delegat de protecció de dades (DPD). Aquest consell i les decisions que prengui han de quedar documentades a l’AIPD. En particular, el responsable del tractament ha de demanar opinió al DPD en els aspectes següents: determinar si cal fer una AIPD, la metodologia a usar en l’AIPD, determinar si convé fer l’AIPD internament o si és millor externalitzar-la, les mesures adoptades per protegir els drets i les llibertats de les persones i determinar si l’AIPD s’ha fet correctament i si les conclusions satisfan els requeriments de protecció de dades.

 

A efectes pràctics, tal i com estableix l’article 35.4 del RGPD, les autoritats de control han publicat en les seves web de referència, una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades, tot i que aquestes llistes no són exhaustives i s’aniran actualitzant progressivament. Així doncs, el fet que un tractament no estigui a la llista no significa que no s’hagi de fer una AIPD, per això caldrà verificar amb el DPD que el tractament no suposa un alt risc pels drets i llibertats de les persones, especialment si s’utilitza noves tecnologies.

Per a més informació podeu consultar la Guia pràctica sobre l’avaluació d’impacte relativa a la protecció de dades i la plantilla d’avaluació d’impacte relativa a la protecció de dades en el següent enllaç

Butlletí Flash TICSS

Subscriu-te i rep cada mes novetats i notícies al teu email

Email