Serveis

Contingut d'una avaluació d'impacte

El RGPD concreta quin haurà de ser el contingut mínim de l'avaluació o, si es vol, el conjunt de documents que recolliran el resultat de la EIPD.

Contingut

L'article 35.7 del RGPD especifica que el contingut haurà de ser el següent:

"(a) “una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento”;

(b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con los fines;

(c) una evaluación de los riesgos para los derechos y libertades de los interesados;

(d) las medidas previstas para hacer frente a los riesgos, incluidas las salvaguardias, medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento del RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas interesadas."

 

Precisament respecte de les persones interessades, el RGPD estableix que el responsable del tractament, quan sigui apropiat, ha de demanar les opinions dels interessats o dels seus representants (per exemple associacions o altres entitats que agrupin interessos) en relació al tractament que pretén dur a terme (art. 35.9).

La documentació relacionada amb les avaluacions d'impacte quedarà a disposició de les autoritats de control, és a dir, no només l'informe final, també el conjunt de documents de treball que hagin estat utilitzats per dur a terme l'avaluació.

 

Què passa si no es porta a terme la EIPD, o no es realitza de la manera adequada?

Si no es porta a terme una EIPD, o aquesta es realitza d'una manera inadequada o insuficient, resulta evident que els tractaments estaran exposats a uns riscos no detectats, i per tant no avaluats, i en conseqüència no s'hauran adoptat les mesures oportunes per gestionar-los (reduir els riscos), que permetin mitigar els efectes negatius que les operacions de tractament puguin tenir per als drets i llibertats de les persones, per tant potencialment poden lesionar el dret a la protecció de les dades de caràcter personal.

Aquestes afectacions negatives, en el cas de materialitzar-se, poden suposar la comissió de diverses infraccions (per exemple: incompliment d'obligacions o principis, o bé no atendre adequadament drets de les persones afectades) per part del responsable del tractament o, si s'escau, de l'encarregat del tractament; de la mateixa manera, probablement es poden arribar a produir danys i perjudicis materials o morals, alguns irreparables, per a les persones afectades; en tot cas haurem d'atendre a la casuística per concretar la magnitud del perjudici i el potencial tipus infractor que resultaria d'aplicació.

 

El RGPD preveu en el seu règim sancionador, que la no realització de la EIPD, quan aquesta sigui obligatòria, podria suposar una sanció econòmica (multa) de fins a 10.000.000 euros, o fins al 2% de la facturació anual de total de l'exercici anterior.

 

Què passa si un cop duta a terme l'avaluació d'impacte arribem a la conclusió que les operacions de tractament previstes segueixen comportant un alt risc?

L'art. 36 del RGPD regula les denominades "consultes prèvies", una obligació que recau sobre el responsable del tractament i que consisteix en consultar a l'autoritat de supervisió abans de procedir a iniciar un tractament, quan a resultes de l'avaluació d'impacte relativa a la protecció de les dades (duta terme segons l'art. 35 de l'RGPD), s'arriba a la conclusió que el tractament comportaria un alt risc, pel fet que el responsable del tractament no pot adoptar mesures per mitigar el risc residual, és a dir, es dóna la circumstància que durant el procés d'avaluació el responsable del tractament no ha estat capaç de trobar o incorporar mesures prou efectives com per mantenir controlats els riscos en un nivell acceptable.