Skip to main content
Avaluacions d'impacte per a Andorra

Avaluacions d’impacte per a Andorra

Les avaluacions d’impacte en protecció de dades són una mesura per garantir els drets de protecció de dades de les persones afectades. En el cas de les avaluacions d’impacte per a Andorra estan previstes, de manera general, en dues normes específiques:

  • Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (art. 32) “LQPD”.
  • Decret 391/2022, del 28 de setembre del 2022 (Reglament d’aplicació de la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals, art 17); exigible a partir del 5 d’abril de 2023. “Reglament LQPD”.

En l’actualitat, i fruit de l’aplicació de les normes anteriors, també comencen a aprovar-se i a sorgir normes sectorials que preveuen la realització d’avaluacions d’impacte per tractaments de dades personals particulars (per exemple: l’art. 26.7 de la Llei 41/2022, de l’1 de desembre, de mesures de protecció, d’estímul del mercat i de governança en l’àmbit de l’habitatge). 

En aquest cas, s’exigeix una avaluació d’impacte per la comunicació de dades entre administracions públiques relacionades amb “tipologies i usos (d’habitatges), amb identificació, també, dels titulars, així com les dades de consum de subministrament i l’estat d’ocupació”.

Quan calen les avaluacions d’impacte per a Andorra i qui ha de fer-la?

En primer lloc, cal establir que l’obligat a fer una avaluació d’impacte és, sempre, el responsable del tractament que, en definitiva, és qui decideix dur a terme un tractament de dades determinat. En aquest sentit, els encarregats del tractament poden ser requerits per aportar informació en relació a una avaluació d’impacte feta per un responsable que, com diem, és qui ha de liderar-la. 

La LQPD estableix els supòsits de tractaments de dades generals que exigiran la realització d’una avaluació d’impacte:

a) Avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques basada en un tractament automatitzat, com l’elaboració de perfils, sobre la base de la qual es prenen decisions que produeixen efectes jurídics per a les persones físiques o que les afecten significativament de manera similar.

b) Tractament a gran escala de les categories especials de dades a què es refereix l’article 9, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l’article 10.

c) Observació sistemàtica a gran escala d’una zona d’accés públic.

A més dels casos en que és necessaria, la normativa vigent, tant la LQPD com el Reglament LQPD, aporten informació addicional alhora de realitzar una avaluació d’impacte de manera correcta:

  1. Cal realitzar-se abans que es dugui a terme el tractament de dades.
  2. Es consideren tractaments d’alt risc quan es donen de manera simultània dues de les situacions següents:
L’elaboració de perfils.
La presa de decisions automatitzades amb efectes jurídics significatius per a les persones físiques.
L’observació sistemàtica d’interessats.
Dades sensibles (salut, religió, vida sexual…)
Tractament de dades a gran escala.
L’associació o la combinació de conjunts de dades.
Dades de persones vulnerables: menors, empleats o grups més vulnerables de lapoblació que necessiten una protecció especial.
L’ús innovador o l’aplicació de noves solucions tecnològiques.
El tractament impedeix als interessats exercir un dret, utilitzar un servei o executar un contracte.
Tractaments de dades economicofinanceres per part d’entitats bancàries o establiments financers.

c) Resulta també aclaridor l’art. 17.5 del Reglament LQPD, que estableix els criteris per definir si un tractament de dades pot considerar-se com de “gran escala”:

El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una població determinada.
El volum i la varietat de dades tractades, considerant que si se superen el 5.000 afectats, estem davant d’un tractament de dades a gran escala.
La durada del tractament.
L’extensió geogràfica del tractament.

Finalment, us dono uns quants consells o recomanacions addicionals:

  • Cal involucrar al Delegat de Protecció de Dades de l’organització en qualsevol avaluació d’impacte, fins al punt que pot decidir iniciar-ne una i ha de justificar, si fos el cas, perquè un tractament no requereix avaluació d’impacte.
  • Si realitzada l’avaluació d’impacte es detecta un gran risc i el responsable no prén mesures per mitigar-lo, cal elevar una consulta a l’Agència Andorrana de Protecció de Dades.
  • L’avaluació d’impacte no és una tasca puntual, sino que cal preveure’n l’actualització quan fos necessari.
  • No confondre l’avaluació d’impacte amb l’anàlisis de riscos: aquesta última és una obligació per a qualsevol tractament de dades, impliqui o no un elevat risc per les persones afectades.

Doncs, res més! Si t’ha quedat alguna pregunta sobre aquest o qualsevol altra tema, no dubtis a contactar amb nosaltres!


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Boletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.

    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.

    Més informació
    Consulta la Política de Privacitat.