El RGPD incorpora una obligació per als responsables de tractaments: avaluar l'impacte de les operacions de tractament en la protecció de les dades personals, quan sigui probable que el tractament comporti un risc significatiu per als drets i les llibertats de les persones. Les avaluacions d'impacte s'han de basar en metodologies o mètodes sistemàtics, a fi que resultin objectives, repetibles i comparables i quedin documentades.
Les avaluacions d'impacte cal establir-les per aquells tractaments amb risc significatiu per als drets i llibertats de les persones que es posin en marxa i abans d'aquesta posada en marxa. Els tractaments ja en funcionament a l'entrada en vigor del RGPD hauran d'efectuar-la si hi ha modificacions significatives. De tota manera, en àmbits tant sensibles i crítics com els tractaments de dades de salut o de dades socials resulta aconsellable que el DPD planifiqui la seva realització.
Les Autoritats de Protecció de Dades han establert guies amb metodologia de referència per dur a termes les avaluacions d'impacte. (enllaç a la guia de l'Autoritat Catalana de Protecció de dades).
uch.cat
