L‘avaluació d’impacte de la privacitat és un procés dissenyat per avaluar els riscos que el procés de dades personals pot suposar. És un procés de caràcter preventiu que ben aplicat i, sobretot en els casos que no siguin obligatoris, contribueix a acreditar que l’empresa compleix amb el principi de responsabilitat proactiva que el nou Reglament exigeix.
L’objectiu de l’avaluació d’impacte és detectar, analitzar i mesurar els riscos per a la protecció de les dades personals i amb aquesta informació prendre les mesures necessàries per reduir-los. Aquest procés pot ajudar a aconseguir una gestió més eficaç dels actius i processos, a més de facilitar també el compliment d’altres obligacions requerides pel RGPD.
No en totes les empreses és obligatori realitzar l’avaluació d’impacte, però si és recomanable pels beneficis que aquest anàlisi suposa per a una entitat. El RGPD determina que serà obligatori realitzar aquesta avaluació en els supòsits següents:
a) Avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques que es basi en un tractament automatitzat, com l’elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar. Com negocis en línia i grans plataformes.
b) El tractament a gran escala de les categories especials de dades o de les dades personals relatives a condemnes i infraccions penals. Com a proveïdors d’assistència sanitària i asseguradores.
c) Observació sistemàtica a gran escala d’una zona d’accés públic. Com a sistema de vídeo vigilància.
A més d’aquests tres supòsits l’autoritat de control té previst publicar una llista dels tipus d’operacions de tractament que requereixen una avaluació d’impacte relativa a la protecció de dades.
El RGPD ens indica que ha d’incloure, com a mínim, l’avaluació d’impacte de la privacitat:
a) Una descripció sistemàtica de les operacions de tractament previstes i de les finalitats del tractament, inclusivament, quan sigui procedent, l’interès legítim perseguit pel responsable del tractament.
b) Una avaluació de la necessitat i la proporcionalitat de les operacions de tractament pel que fa a la seva finalitat.
c) Una avaluació dels riscos per als drets i llibertats dels interessats.
d) Les mesures previstes per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals, i demostrar la conformitat amb el present Reglament, tenint en compte els drets i interessos legítims dels interessats i d’altres persones afectades.