El Reglament General de Protecció de Dades (RGPD) estableix al seu article 35.1 que les organitzacions que tractin dades tenen l’obligació de realitzar una Avaluació d’Impacte relativa a la Protecció de Dades (AIPD) amb anterioritat a la posada en funcionament d’aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o finalitat, comporti un alt risc pels drets i llibertats de les persones.
¿Com sé quan he de fer una avaluació d’impacte (AIPD)?
El RGPD estableix a l’article 35.2 situacions en las que la AIPD ha de realitzar-se i són:
a) avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques que es basi en un tractament automatitzat, como l’elaboració de perfils, i sobre la base de la qual es prenguin decisions que produeixin efectes jurídics per les persones físiques o que les afectin significativament de manera similar
b) tractament a gran escala de les categories especials de dades a que es refereix l’article 9.1, o de les dades personals relatives a condemnes i infraccions penals a que es refereix l’article 10, o
c) observació sistemàtica a gran escala d’una zona d’accés públic.
Com aquests escenaris són amplis, per ajudar a determinar situacions més concretes en les que la AIPD ha de realitzar-se, el RGPD contempla al seu article 35.4 que “L’autoritat de control establirà i publicarà una llista de la tipologia d’operacions de tractament que requereixin una avaluació d’impacte relativa a la Protecció de dades …”
Donant resposta a aquesta crida del RGPD, l’Agencia Espanyola de Protecció de Dades, aquest mes de maig ha publicat el llistat orientatiu dels tractaments que han de realitzar Avaluació d’Impacte prèvia al tractament i ha definit que serà necessari fer l’AIPD en els casos en els que el tractament compleixi amb dos o més criteris del llistat que passem a comentar:
1. ELABORACIÓ DE PERFILS: tractaments que impliquen perfils o valoració de subjectes. Per exemple, empresa de selecció de personal que realitza test psicotècnics als candidats i a través dels resultats elabora un perfil.
2. PRESA DE DECISIONS AUOTMATITZADES: tractaments que impliquen aquesta presa de decisions, como por exemple pot ser la denegació automàtica d’una sol·licitud de crèdit online.
3. OBSERVACIÓ, MONITORIZACIÓ, SUPERVISIÓ, GEOLOCALITZACIÓ O CONTROL DE L’INTERESSAT: qualsevol tractament que impliqui alguna d’aquestes accions, com per exemple que els dispositius que duen els comercials d’una empresa, tinguin geolocalització com a mesura de seguretat davant un robatori o pèrdua.
4. US CATEGORIES ESPECIALS DADES: categories tipificades a l’article 9.1 i 10 del RGPD, com són les dades personals que revelen l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, afiliació sindical, i el tractament de dades genètiques, biomètriques dirigides a identificar de manera inequívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o orientació sexual, i dades relatives a condemnes i infraccions penals.
5. DADES BIOMÈTRIQUES: són les dades relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única d’aquesta persona, com por exemple el tractament de dades generada a través del control horari, mitjançant màquines amb identificació a través de l’empremta dactilar.
6. DADES GENÈTIQUES: són les dades relatives a les característiques genètiques heretades o adquirides d’una persona física que proporcionen una informació única sobre la fisiologia o la salut d‘aquesta persona, obtinguts en particular de l’anàlisi d’una mostra biològica d’aquesta persona.
7. DADES A GRAN ESCALA: (WP 243 rev.01) no hi ha una xifra ni un barem que ens digui què és gran escala, però si que hi ha factors que ens ajuden a saber-ho:
a. el número d’interessats afectats, com a xifra concreta o com proporció de la població corresponent
b. el volum de dades o la varietat d’elements de dades que són objecte de tractament;
c. la durada, o permanència, de l’activitat de tractament de dades;
d. l’abast geogràfic de l’activitat de tractament
I, tractaments que serveixen d’exemple per imaginar-se què és “gran escala”:
- el tractament de dades de pacients en el desenvolupament normal de l’activitat d’un hospital
- el tractament de dades de desplaçament de les persones, com per exemple el seguiment a través de targetes de transport
- el tractament de dades de geolocalització en temps real de clients d’una cadena internacional de menjar ràpid amb finalitats estadístiques per part d’un responsable de tractament especialitzat en la prestació d’aquests serveis
- el tractament de dades de clients en el desenvolupament normal de l’activitat d’una companyia d’assegurances o d’un banc
- el tractament de dades personals per la publicitat en base al comportament per un motor de cerca
- el tractament de dades per proveïdores de serveis de telefonia o internet
I, exemples que serveixen per saber que no és “gran escala”:
- el tractament de dades de pacients por part d’un sol metge;
- el tractament de dades personals relatives a condemnes i infraccions penals per part d’un advocat.
8. COMBINACIÓ REGISTRES DE BBDD AMB FINALITATS O RESPONSABLES DIFERENTS
9. DADES SUBJECTES VULNERABLES: tractaments de dades de menors de 14 anys, subjectes en risc d’exclusió social, majors d’edat amb grau de discapacitat, discapacitats, persones que accedeixen a serveis socials, víctimes de violència de gènere, i els seus descendents i persones que estiguin sota la seva guarda i custodia.
10. NOVES TECNOLOGIES O TECNOLOGIES AMB US INNOVADOR: us de tecnologies a una nova escala, amb un nou objectiu o combinades amb altres, de forma que suposi noves formes de recollida i utilització de dades amb risc pels drets i llibertats de les persones.
11. TRACTAMENTS SENSE EXERCICI DE DRECTS: per exemple tractaments en els que les dades han estat recopilades per un responsable diferent al que les va a tractar i aplica alguna de les excepcions sobre informació que ha de donar-se als interessats segons l’article 14. R (b, c, d) del RGPD.