La AEPD elabora unas orientaciones para las Administraciones Públicas respecto a la evaluación de impacto legislativas

Escrito por Casey Abernethy

El texto recoge aquellas directrices sobre las que deberán fundamentarse las administraciones públicas cuando elaboren una evaluación de impacto sobre protección de datos desde el momento en el que se diseña la normativa. Dichas indicaciones estarán destinadas a aquellos organismos del sector público encargados de impulsar iniciativas legislativas que afectan principalmente el tratamiento de datos personales y a sus responsables.

El citado documento, adoptado el 18 de abril de 2023, aborda los condicionantes que deberán ser objeto de un análisis previo con la finalidad de determinar si es necesaria la realización de dicha evaluación, de qué forma debe llevarse a cabo en caso afirmativo y qué consideraciones deben valorarse para apreciar su calidad. En este sentido, la elaboración de una Memoria de Impacto Normativo (R.D. 931/2017) señala que la evaluación debe tener en cuenta la fase inicial de diseño, reafirmando las instrucciones de la AEPD.

Por otra parte, la Ley Orgánica de Protección de Datos dispone que el tratamiento de datos personales por obligación legal, interés público o ejercicio de potestades públicas únicamente puede efectuarse cuando así esté enunciado o proceda directamente de una competencia atribuida por una norma de Derecho de la Unión Europea o una norma con rango de ley. A falta de tal disposición o cuando no reúna los requisitos legales, deberá proponerse la adopción de una disposición con rango de ley que contemple el tratamiento.

Cuando se haya determinado la existencia de una base legal para el tratamiento, la evaluación de impacto de la normativa tendrá que valorar el efecto del tratamiento sobre los derechos y libertades fundamentales de las personas, de forma individual y como comunidad, facilitando garantías de carácter organizativo, jurídico y técnico.

Además, se resalta que el riesgo que una medida entraña para los derechos no implica que esta no pueda ser propuesta, salvo que su diseño supere la evaluación de impacto, en concreto, que se minimicen suficientemente los supuestos riesgos, cumpliendo de esta forma, el análisis de necesidad, proporcionalidad e idoneidad.

Con respecto a las actuaciones de tratamiento vinculadas a inteligencia artificial, decisiones automatizadas, biometría, vigilancia masiva, centralización a gran escala, tratamiento masivo de datos, datos de niños, personas vulnerables, etc., serán de especial interés para el proceso de evaluación al suponer mayores riesgos y efectos colaterales indeseados.

Por último, la AEPD recomienda consultar la guía "Gestión de riesgos y evaluación de impacto en el tratamiento de datos personales", el "Listado de tablas de la guía Gestión de riesgos y evaluación de impacto", o la herramienta Evalúa_Riesgo, que enumera más de 130 factores de riesgo figurando en la normativa de protección de datos.

Casey Abernethy
Anterior

Comité Europeo de Protección de Datos. Directrices sobre derechos de los interesados e Informe Anual de Actividades 2022
Siguiente

Respaldo del Parlamento Europeo en la aprobación de la nueva “ley de datos” (Data Act)destinada a garantizar el acceso justo y el uso adecuado de los datos industriales