Amb l’entrada en vigor del RGPD vam començar a familiaritzar-nos amb les avaluacions d’impacte en protecció de dades ¿però coneixem realment quin ha de ser el seu contingut?

D’acord amb el que indica el RGPD, l’avaluació ha d’incloure com a mínim:

  • Una descripció sistemàtica de les operacions del tractament previstes i de les finalitats del tractament, inclusivament, quan sigui procedent, l’interès legítim perseguit pel responsable del tractament.
  • Una avaluació de la necessitat i la proporcionalitat de les operacions del tractament pel que fa a la seva finalitat.
  • Una avaluació dels riscos per als drets i llibertats dels interessats a què es refereix l’apartat 1 i,
  • Les mesures previstes per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals, ia demostrar la conformitat amb el present Reglament, tenint en compte els drets i interessos legítims dels interessats i d’altres persones afectades.

En base a l’anterior, la guia d’avaluacions d’impacte de la AEPD proposa que l’informe contingui almenys:

Context:

  • Descriure el cicle de vida de les dades: descripció detallada del cicle de vida i del flux de dades en el tractament. Identificació de les dades tractades, intervinents, tercers, sistemes implicats i qualsevol element rellevant que participi en l’activitat del tractament.
  • Analitzar la necessitat i proporcionalitat del tractament: anàlisi de la base de legitimació, la finalitat i la necessitat i proporcionalitat del tractament que es pretenen dur a terme.

Gestió de riscos:

  • Identificar amenaces i riscos: Identificació de les amenaces i riscos potencials als que estan exposats les activitats del tractament.
  • Avaluar els riscos: avaluació de la probabilitat i l’impacte que es materialitzin els riscos als quals està exposada l’organització.
  • Tractar els riscos: resposta davant els riscos identificats amb l’objectiu de minimitzar la probabilitat i l’impacte que aquests es materialitzin fins a un nivell de risc acceptable que permeti garantir els drets i llibertats de les persones físiques.

Conclusió i validació:

  • Pla d’acció i conclusions: Informe de conclusions de la EIPD on es documenti el resultat obtingut juntament amb el pla d’acció que inclogui les mesures de control a implantar per gestionar els riscos identificats i poder garantir els drets i llibertats de les persones físiques.

A més d’aquests punts, cada organització podrà incloure altres apartats que consideri necessaris o convenients per a una millor informació a l’alta direcció i la resta de destinataris de l’informe com, per exemple, una anàlisi costos-beneficis de les diferents mesures de seguretat recomanades en el informe o qualssevol altres que es jutgin adequats.

Font: AEC – GOVERTIS

DPO Consulting, Consultors de Protecció de Dades
Iniciatives de Comunicació del Camp de Tarragona SL
E: info@dpoconsulting.cat
T: +34 877 200 125

Reus

Multioficines MO Despatx 22
Avinguda La Salle, 45
43205 Reus

Tarragona

Rambla Nova, 119, 2on 1a, Esc. A
43001 Tarragona

Vilanova i la Geltrú

ESPAIZ
Picapedrers, 14
08800 Vilanova i la Geltrú (Barcelona)