El Reglament UE 2016/679, General de Protecció de Dades del Parlament Europeu i del Consell, de 27 d’abril (en endavant, RGPD) dedica la Secció 3 del seu capítol IV “Responsable del tractament i encarregat del tractament” a l’Avaluació d’Impacte relativa a la protecció de dades (en endavant AIPD).

En concret, l’apartat 1 de l’article 35 estableix, amb caràcter general, l’obligació que tenen els responsables dels tractaments de dades de realitzar una AIPD amb caràcter previ a la posada en funcionament de tals tractaments quan sigui probable que per la seva naturalesa, abast, context o fins comportin un alt risc pels drets i llibertats de les persones físiques, alt risc que, segons el mateix Reglament, es veurà incrementat quan els tractaments es realitzen utilitzant “noves tecnologies”.

D’altra banda, l’article 35.3 estableix que l’AIPD es requerirà en particular en el cas de:

 • Avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques que es basi en un tractament automatitzat, com l’elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;
 • Tractament a gran escala de les categories especials de dades a què es refereix l’article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l’article 10, o la
 • Observació sistemàtica a gran escala d’una zona d’accés públic.

Per facilitar als responsables dels tractaments la identificació d’aquells tractaments que requereixen una AIPD, l’RGPD disposa que les autoritats de control han de publicar una llista amb els tractaments que requereixin d’una AIPD. Aquesta llista s’ha de comunicar al Comitè Europeu de Protecció de Dades (CEPD).

Llista orientativa de tipus de tractament que requereixen una avaluació d’impacte relativa a la Protecció de Dades segons l’article 35.4 RGPD

En el moment d’analitzar tractaments de dades serà necessari realitzar una AIPD en la majoria dels casos en què aquest tractament compleixi amb dos o més criteris de la llista exposada a continuació, llevat que el tractament es trobi en la llista de tractaments que no requereixen EIPD a la qual es refereix en article 35.5 del RGPD. Com més criteris reuneixi el tractament en qüestió, més gran serà el risc que comporti aquest tractament i major serà la certesa de la necessitat de realitzar una EIPD.

Aquesta llista es basa en els criteris establertes pel Grup de Treball de l’Article 29 en la guia WP248 “Directrius sobre l’avaluació d’impacte relativa a la protecció de dades (EIPD)i per determinar si el tractament« comporta probablement un alt risc »a efectes de l’RGPD “, els complementa i s’ha d’entendre com una llista no exhaustiva:

 • Tractaments que impliquin perfilat o valoració de subjectes, inclosa la recollida de dades del subjecte en múltiples àmbits de la seva vida (rendiment en el treball, personalitat i comportament), que cobreixin diversos aspectes de la seva personalitat o sobre els seus hàbits.
 • Tractaments que impliquin la presa de decisions automatitzades o que contribueixin en gran mesura a la presa d’aquestes decisions, incloent qualsevol tipus de decisió que impedeixi a un interessat exercir un dret o tenir accés a un bé o un servei o formar part d’un contracte.
 • Tractaments que impliquin l’observació, monitorització, supervisió, geolocalització o control de l’interessat de forma sistemàtica i exhaustiva, inclosa la recollida de dades i metadades a través de xarxes, aplicacions o en zones d’accés públic, així com el processament d’identificadors únics que permetin la identificació d’usuaris de serveis de la societat de la informació com poden ser els serveis web, TV interactiva, aplicacions mòbils, etc.
 • Tractaments que impliquin l’ús de categories especials de dades a què fa referència l’article 9.1 del RGPD, dades relatives a condemnes o infraccions penals a què es refereix l’article 10 del RGPD o dades que permetin determinar la situació financera o de solvència patrimonial o deduir informació sobre les persones relacionada amb categories especials de dades.
 • Tractaments que impliquin l’ús de dades biomètriques amb el propòsit d’identificar de manera única a una persona física.
 • Tractaments que impliquin l’ús de dades genètiques per a qualsevol fi.
 • Tractaments que impliquin l’ús de dades a gran escala. Per determinar si un tractament es pot considerar a gran escala es consideraran els criteris establerts a la guia WP243 “Directrius sobre els delegats de protecció de dades (DPD)” del Grup de Treball de l’Article
 • Tractaments que impliquin l’associació, combinació o enllaç de registres de bases de dades de dos o més tractaments amb finalitats diferents o per responsables diferents.
 • Tractaments de dades de subjectes vulnerables o en risc d’exclusió social, incloent dades de menors de 14 anys, majors amb algun grau de discapacitat, discapacitats, persones que accedeixen a serveis socials i víctimes de violència de gènere, així com els seus descendents i persones que estiguin sota la seva guàrdia i custòdia.
 • Tractaments que impliquin la utilització de noves tecnologies o un ús innovador de tecnologies consolidades, incloent la utilització de tecnologies a una nova escala, amb un nou objectiu o combinades amb altres, de manera que suposi noves formes de recollida i utilització de dades amb risc pels drets i llibertats de les persones.
 • Tractaments de dades que impedeixin als interessats exercir els seus drets, utilitzar un servei o executar un contracte, com ara tractaments en què les dades han estat recopilades per un responsable diferent al que els va a tractar i és d’aplicació alguna de les excepcions sobre la informació que s’ha de proporcionar als interessats segons l’article 4.5 (b, c, d) de l’RGPD.

 

FONT:AEPD

DPO Consulting, Consultors de Protecció de Dades
E: info@dpoconsulting.cat
T: +900 933 241

Barcelona

Vilanova i la Geltrú

Tarragona