Amb l’entrada en vigor del RGPD vam començar a familiaritzar-nos amb les avaluacions d’impacte en protecció de dades ¿però coneixem realment quin ha de ser el seu contingut?
D’acord amb el que indica el RGPD, l’avaluació ha d’incloure com a mínim:
- Una descripció sistemàtica de les operacions del tractament previstes i de les finalitats del tractament, inclusivament, quan sigui procedent, l’interès legítim perseguit pel responsable del tractament.
- Una avaluació de la necessitat i la proporcionalitat de les operacions del tractament pel que fa a la seva finalitat.
- Una avaluació dels riscos per als drets i llibertats dels interessats a què es refereix l’apartat 1 i,
- Les mesures previstes per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals, ia demostrar la conformitat amb el present Reglament, tenint en compte els drets i interessos legítims dels interessats i d’altres persones afectades.
En base a l’anterior, la guia d’avaluacions d’impacte de la AEPD proposa que l’informe contingui almenys:
Context:
- Descriure el cicle de vida de les dades: descripció detallada del cicle de vida i del flux de dades en el tractament. Identificació de les dades tractades, intervinents, tercers, sistemes implicats i qualsevol element rellevant que participi en l’activitat del tractament.
- Analitzar la necessitat i proporcionalitat del tractament: anàlisi de la base de legitimació, la finalitat i la necessitat i proporcionalitat del tractament que es pretenen dur a terme.
Gestió de riscos:
- Identificar amenaces i riscos: Identificació de les amenaces i riscos potencials als que estan exposats les activitats del tractament.
- Avaluar els riscos: avaluació de la probabilitat i l’impacte que es materialitzin els riscos als quals està exposada l’organització.
- Tractar els riscos: resposta davant els riscos identificats amb l’objectiu de minimitzar la probabilitat i l’impacte que aquests es materialitzin fins a un nivell de risc acceptable que permeti garantir els drets i llibertats de les persones físiques.
Conclusió i validació:
- Pla d’acció i conclusions: Informe de conclusions de la EIPD on es documenti el resultat obtingut juntament amb el pla d’acció que inclogui les mesures de control a implantar per gestionar els riscos identificats i poder garantir els drets i llibertats de les persones físiques.
A més d’aquests punts, cada organització podrà incloure altres apartats que consideri necessaris o convenients per a una millor informació a l’alta direcció i la resta de destinataris de l’informe com, per exemple, una anàlisi costos-beneficis de les diferents mesures de seguretat recomanades en el informe o qualssevol altres que es jutgin adequats.
Font: AEC – GOVERTIS