Serveis
Avaluació d'impacte
Definició
Una de les definicions de la EIPD més estesa, és la que les considera la guia de la AEPD com «un procés on es porta a terme un esforç conscient i sistemàtic per avaluar l'impacte en la protecció de dades personals de les opcions que poden adoptar-se en relació amb una determinada proposta o projecte» o com «una avaluació de qualsevol efecte actuals o potencials que una determinada proposta o projecte podrien tenir en la privacitat individual i les formes en què aquests efectes adversos es poden mitigar »Stewart, B. Privacy impact assessments. Privacy Law and Policy Reporter. Austràlia (1996).
Avaluació d'impacte al RGPD
El Reglament Europeu (RGPD) contempla la realització d'avaluacions d'impacte als seus articles 35 i 36.
Artículo 35.1 Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
Per la seva banda, el Considerant 84 del Reglament indica que «a fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».
Tot i que els models tradicionals de supervisió contemplats a la LOPD i al seu reglament de desenvolupament (RLOPD) continuen sent vàlids (auditories periòdiques, correcta documentació dels tractament...), es necessari preveure mecanismes de protecció de dades des del disseny (privacy by design), capaços de donar seguretat i confiança als tractaments amb dades personals des dels instants inicials en que es dissenya un nou sistema, producte o servei. Aquest procés de «privacitat des del disseny» passa per l’elaboració de l’eina que aconsegueixi aquests objectius d’avaluació dels riscos que puguin existir per a la privacitat de les persones: és a dir, la ja referida EIPD o Avaluació de Impacte en la Protecció de Dades Personals.
No obstant això, no totes les avaluacions d'impacte han de plantejar-se amb la mateixa intensitat ni amb el mateix grau de profunditat. Hi haurà casos en què serà possible dur-les a terme d'una manera menys exhaustiva i formalitzada, perquè es posi de manifest que els riscos són escassos o fàcilment mitigables, i en altres casos es requereixi un major detall o concreció.