Serveis
Exigència d'avaluació d'impacte
Segons l'article 35 del RGPD, s’exigirà la realització d'una avaluació d'impacte en els següents supòsits:
a. Quan un tractament pugui comportar un alt risc per als drets i llibertats de les persones físiques atenent a:
· si es fan servir noves tecnologies.
· per la seva naturalesa, abast, context o finalitats.
b. Per exemple, hi ha finalitats de tractament que suposen una invasió notable de la privacitat, com assenyala l'AEPD a la Guia per a una avaluació d'impacte, com la monitorització del comportament o la publicitat basada en el mateix, l’elaboració de perfils de qualsevol tipus, la verificació de la idoneïtat per a determinades tasques, l'avaluació de la personalitat o de la situació financera, laboral, social, familiar, formació, gustos o aficions i les que impliquin el tractament de dades especialment protegides.
c. Quan es realitzi una avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques que es basi en un tractament automatitzat, com, per exemple, l'elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;
d. Quan es realitzi un tractament a gran escala de les categories especials de dades (que preveu l'article 9, apartat 1 de l'RGPD), o de les dades personals relatives a condemnes i infraccions penals (que es refereix l'article 10 del RGPD). Cal recordar que les categories especials de dades personals són les que revelen l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l'afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o vida sexual o orientació sexual.
e. En supòsits d'observació sistemàtica a gran escala d'una zona d'accés públic, com per exemple, segons el Considerant 91 RGPD, quan s'utilitzin dispositius optoelectrònics. Aquesta classe de dispositius permeten convertir senyals òptics en senyals electrònics o viceversa. Les seves aplicacions són molt extenses i variades, però fonamentalment s'apliquen en circuits de comunicacions, sistemes de senyalització, i productes de consum massiu, entre d'altres.
En qualsevol cas, els apartats 4t i 5è de l'article 35, determinen que l'Autoritat de Control, l'AEPD, ha de publicar una llista dels tipus d'operacions de tractament que requereixin una avaluació d'impacte i una altra per als que no es necessita.
El grup de l'article 29 va publicar un document on s'introdueixen fins a 9 criteris que podrien evidenciar potencialment un elevat risc inherent de les operacions de tractament i que, per tant, indicarien l'obligació de dur a terme la EIPD, fins i tot s'inclouen alguns exemples de tractaments que en aplicació d'aquests criteris, vindrien a requerir, o no, fer la EIPD.