Protecció de dades: llistat de tractaments en els quals no és necessari realitzar una avaluació d’impacte

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat un llistat de tractaments de dades personals en els quals no és obligatòria la realització d’una avaluació d’impacte, amb l’objectiu de facilitar als responsables la identificació d’aquesta mena de tractaments.

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat un llistat de tractaments de dades personals en els quals no és obligatòria la realització d’una avaluació d’impacte. Per exemple, l’AEPD ha establert que no serà necessari realitzar una avaluació quan es realitzin tractaments sota directrius contingudes en circulars o decisions emeses prèviament per les autoritats de control (en particular l’AEPD) sempre que el tractament no s’hagi modificat des que va ser autoritzat.

També ha fixat que no es requerirà una avaluació d’impacte si el tractament es realitza complint amb codis de conducta aprovats per la Comissió Europea o les autoritats de control, sempre que ja s’hagués dut a terme una avaluació per validar aquest codi de conducta.

El Reglament general de protecció de dades (RGPD) estableix que les organitzacions que tractin dades estan obligades a realitzar una avaluació d’impacte relativa a la protecció de dades (AIPD) abans d’efectuar aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o finalitats, comportin un alt risc per als drets i llibertats de les persones.

D’altra banda, estableix que les autoritats de control podran publicar la llista dels tipus de tractament que no requereixen una avaluació d’impacte. Així mateix, i com contempla el RGPD, l’Agència ha comunicat al Comitè Europeu de Protecció de Dades (CEPD) el llistat, que també es troba disponible en anglès. Aquesta llista, que no eximeix de complir la resta d’obligacions establertes en la normativa de protecció de dades, complementa a la publicada amb anterioritat per l’Agència on figuren aquells tractaments en els quals sí que és obligatori dur a terme una AIPD.

Dins dels tractaments que formen part del llistat també es troben, entre altres, aquells que duguin a terme els treballadors autònoms que exerceixin de manera individual, en particular metges, professionals de la salut o advocats, sense perjudici que pugui requerir-se quan aquests tractaments compleixin amb dos o més criteris establerts en la llista de tipus de tractaments de dades que requereixen AIPD; així com els obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.

Les avaluacions d’impacte

El Reglament estableix que en aquells casos en els quals sigui probable que els tractaments comportin un alt risc per als drets i llibertats de les persones físiques incumbeix al responsable del tractament de realitzar una avaluació d’impacte relativa a la protecció de dades, que avaluï, en particular, l’origen, la naturalesa, la particularitat i la gravetat del risc.

L’AEPD ha publicat amb anterioritat diferents recursos per facilitar el compliment d’aquesta obligació, com la guia per a les avaluacions d’impacte en la protecció de dades personals; la llista de tipus de tractaments de dades que requereixen AIPD; gestiona, una eina per realitzar anàlisi de riscos i avaluacions d’impacte, o el model d’informe de AIPD per a administracions públiques.

Vegeu el llistat complet en el següent enllaç: https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf

Us deixem també el llistat de tractaments de protecció de dades que SÍ requereixen Avaluació d’Impacte Prèvia, publicada per l’Autoritat Catalana de Protecció de Dades: https://apdcat.gencat.cat/web/.content/02-drets_i_obligacions/obligacions/documents/Lista-DPIA-CAT.pdf