Evaluació d'Impacte (EIPD) (Art. 35 RGPD)

Evaluació d'Impacte (EIPD)

La realització d'Avaluacions d'Impacte sobre la protecció de dades (aplicables de manera obligatòria en uns certs tractaments) té caràcter previ a la posada en marxa dels mateixos i té com a objectiu minimitzar els riscos que un tractament de dades planteja per als ciutadans. Per això, possiblement no seria conforme amb l'esperit del Reglament exigir que tot tractament que pugui potencialment suposar un alt risc per als drets dels interessats hagi de ser objecte d'una Avaluació d'Impacte malgrat haver començat abans que resulti aplicable.

No obstant això, en la mesura en què aquests tractaments incorporin, a partir de Maig de 2018, noves dades, ha d'entendre's que, malgrat que el tractament continuï sent el mateix, s'estaria aplicant a nous interessats els drets i les llibertats dels quals podrien estar en risc a partir de la data en què les seves dades comencen a ser tractats. Per això, en aquests casos sí que seria necessari que es dugués a terme una EIPD en els supòsits als quals es refereix el RGPD.

L'avaluació d'impacte relativa a la protecció de dades es basa en:

Descripció sistemàtica de les operacions de tractament.

Avaluació de la necessitat i proporcionalitat del tractament.

Mesures de seguretat previstes per a afrontar els riscos.

L'enfocament de Risc

El RGPD assenyala que les mesures dirigides a garantir el seu compliment han de tenir en compte la naturalesa, l'àmbit, el context i els fins del tractament, així com el risc per als drets i llibertats de les persones.

D'acord amb aquest enfocament, algunes de les mesures que el RGPD estableix s'aplicaran només quan existeixi un alt risc per als drets i llibertats, mentre que unes altres hauran de modular-se en funció del nivell i tipus de risc que els tractaments presentin. L'aplicació de les mesures previstes pel RGPD ha d'adaptar-se, per tant, a les característiques de les organitzacions.

Evaluació d'Impacte (EIPD) (Art. 35 RGPD)