Serveis

Exigència d'avaluació d'impacte

L'article 35 del RGPD dicta els supòsits d’exigència de realització d’una avaluació d’impacte.

Segons l'article 35 del RGPD, s’exigirà la realització d'una avaluació d'impacte en els següents supòsits:

a. Quan un tractament pugui comportar un alt risc per als drets i llibertats de les persones físiques atenent a:

· si es fan servir noves tecnologies.

· per la seva naturalesa, abast, context o finalitats.

b. Per exemple, hi ha finalitats de tractament que suposen una invasió notable de la privacitat, com assenyala l'AEPD a la Guia per a una avaluació d'impacte, com la monitorització del comportament o la publicitat basada en el mateix, l’elaboració de perfils de qualsevol tipus, la verificació de la idoneïtat per a determinades tasques, l'avaluació de la personalitat o de la situació financera, laboral, social, familiar, formació, gustos o aficions i les que impliquin el tractament de dades especialment protegides. 

c. Quan es realitzi una avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques que es basi en un tractament automatitzat, com, per exemple, l'elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;

d. Quan es realitzi un tractament a gran escala de les categories especials de dades (que preveu l'article 9, apartat 1 de l'RGPD), o de les dades personals relatives a condemnes i infraccions penals (que es refereix l'article 10 del RGPD). Cal recordar que les categories especials de dades personals són les que revelen l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l'afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o vida sexual o orientació sexual.

e. En supòsits d'observació sistemàtica a gran escala d'una zona d'accés públic, com per exemple, segons el Considerant 91 RGPD, quan s'utilitzin dispositius optoelectrònics. Aquesta classe de dispositius permeten convertir senyals òptics en senyals electrònics o viceversa. Les seves aplicacions són molt extenses i variades, però fonamentalment s'apliquen en circuits de comunicacions, sistemes de senyalització, i productes de consum massiu, entre d'altres.

En qualsevol cas, els apartats 4t i 5è de l'article 35, determinen que l'Autoritat de Control, l'AEPD, ha de publicar una llista dels tipus d'operacions de tractament que requereixin una avaluació d'impacte i una altra per als que no es necessita.

El grup de l'article 29 va publicar un document on s'introdueixen fins a 9 criteris que podrien evidenciar potencialment un elevat risc inherent de les operacions de tractament i que, per tant, indicarien l'obligació de dur a terme la EIPD, fins i tot s'inclouen alguns exemples de tractaments que en aplicació d'aquests criteris, vindrien a requerir, o no, fer la EIPD.