B
BOPA·CHAT
Decret 367/2022, del 14 de setembre del 2022
172 versiones

Decret 367/2022, del 14 de setembre del 2022

Evolución de este artículo a través de todas las versiones de la ley.

v1OriginalBOPA 03411220 sept 2022

Avaluació d’impacte

Article 17. Avaluació d’impacte

  1. Quan sigui probable que un tipus de tractament, especialment si utilitza noves tecnologies, i tenint en compte la seva naturalesa, l’abast, el context o les finalitats, pugui comportar un alt risc per als drets i les llibertats de les persones físiques, abans del tractament el responsable, ja sigui públic o privat, ha d’avaluar l’impacte de les operacions de tractament en la protecció de dades personals. En el cas d’una operació de tractament que ja està en marxa, s’ha de fer una avaluació d’impacte tan aviat com es detecti un risc greu per als drets i les llibertats de les persones.

  2. L’avaluació d’impacte no és una tasca puntual, sinó que cal actualitzar-la periòdicament.

  3. Un tractament comporta un risc alt o bé quan es produeixen les tres situacions especificades a la Llei 29/2021 o bé quan dos o més dels criteris següents apareixen en una operació de tractament:

    • a) L’avaluació o puntuació dels interessats, inclosa l’elaboració de perfils.
    • b) La presa de decisions automatitzades amb efectes jurídics significatius per a les persones físiques o que les afectin significativament de manera similar.
    • c) L’observació sistemàtica d’interessats.
    • d) Dades sensibles (especialment protegides).
    • e) Un tractament de dades a gran escala.
    • f) L’associació o la combinació de conjunts de dades.
    • g) Dades relatives a interessats vulnerables, com ara menors, empleats o grups més vulnerables de la població que necessiten una protecció especial.
    • h) L’ús innovador o l’aplicació de noves solucions tecnològiques o organitzatives.
    • i) El tractament impedeix als interessats exercir un dret, utilitzar un servei o executar un contracte.
    • j) Tractaments de dades economicofinanceres per part d’entitats bancàries o establiments financers.

  4. El delegat de protecció de dades pot suggerir en qualsevol moment la realització d’una avaluació d’impacte i, en cas de dubte, s’ha de pronunciar sobre si aquesta avaluació és necessària o no ho és.

  5. El concepte de gran escala establert a la Llei 29/2021 depèn dels criteris següents:

    • a) El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una població determinada.
    • b) El volum i la varietat de dades tractades. En qualsevol cas, el tractament de dades personals de més de cinc mil afectats implica la consideració de tractament a gran escala.
    • c) La durada o la permanència de l’activitat de tractament.
    • d) L’extensió geogràfica de l’activitat de tractament.

  6. Sense perjudici dels tractaments esmentats, d’acord amb la Llei 29/2021 l’Agència Andorrana de Protecció de Dades pot publicar en qualsevol moment una llista complementària d’activitats que requereixin una avaluació d’impacte.

  7. Independentment del risc que pugui tenir una operació de tractament, no cal fer una avaluació d’impacte:

    • a) Si ja s’ha efectuat una avaluació d’impacte d’un altre tractament molt similar en naturalesa, abast, context i finalitats.
    • b) Quan el tractament està inclòs en una llista de tractaments (publicada per l’Agència Andorrana de Protecció de Dades) que no requereixen una avaluació d’impacte.

  8. L’escala de riscos establerta a la Llei 29/2021 s’ha de fer tenint en compte els criteris d’impacte i de probabilitat d’amenaça. Per calcular el nivell de risc associat a un tractament de dades, el responsable del tractament ha de combinar la gravetat del possible impacte amb la probabilitat de l’amenaça, prenent sempre com a punt de vista i referència els interessats, d’acord amb la taula de valoració de riscos continguda a l’annex 1 d’aquest Reglament.

  9. Quan, abans de començar un tractament, el responsable (o l’encarregat) del tractament constata que el risc de conseqüències per als drets i les llibertats de les persones és alt, ha de sotmetre a l’Agència Andorrana de Protecció de Dades la idoneïtat del tractament i les mesures que vol aplicar-hi.

  10. La comunicació a l’Agència Andorrana de Protecció de Dades de les avaluacions d’impacte que suposin un alt risc establerta a la Llei 29/2021 es fa de forma telemàtica i s’hi adjunta la documentació definida a la mateixa Llei. L’Agència pot instar el responsable a aportar posteriorment qualsevol informació que consideri rellevant per donar resposta a la consulta feta.

v2ModificaciónCambiado20 sept 2022

Avaluació d’impacte

Deroga art. disposició addicional de

Article 17. Avaluació d’impacte

1. Quan sigui probable que un tipus de tractament, especialment si utilitza noves tecnologies, i tenint en compte la seva naturalesa, l’abast, el context o les finalitats, pugui comportar un alt risc per als drets i les llibertats de les persones físiques, abans del tractament el responsable, ja sigui públic o privat, ha d’avaluar l’impacte de les operacions de tractament en la protecció de dades personals. En el cas d’una operació de tractament que ja està en marxa, s’ha de fer una avaluació d’impacte tan aviat com es detecti un risc greu per als drets i les llibertats de les persones. 2. L’avaluació d’impacte no és una tasca puntual, sinó que cal actualitzar-la periòdicament. 3. Un tractament comporta un risc alt o bé quan es produeixen les tres situacions especificades a la Llei 29/2021 o bé quan dos o més dels criteris següents apareixen en una operació de tractament:

  • a) L’avaluació o puntuació dels interessats, inclosa l’elaboració de perfils.
  • b) La presa de decisions automatitzades amb efectes jurídics significatius per a les persones físiques o que les afectin significativament de manera similar.
  • c) L’observació sistemàtica d’interessats.
  • d) Dades sensibles (especialment protegides).
  • e) Un tractament de dades a gran escala.
  • f) L’associació o la combinació de conjunts de dades.
  • g) Dades relatives a interessats vulnerables, com ara menors, empleats o grups més vulnerables de la població que necessiten una protecció especial.
  • h) L’ús innovador o l’aplicació de noves solucions tecnològiques o organitzatives.
  • i) El tractament impedeix als interessats exercir un dret, utilitzar un servei o executar un contracte.
  • j) Tractaments de dades economicofinanceres per part d’entitats bancàries o establiments financers.

4. El delegat de protecció de dades pot suggerir en qualsevol moment la realització d’una avaluació d’impacte i, en cas de dubte, s’ha de pronunciar sobre si aquesta avaluació és necessària o no ho és. 5. El concepte de gran escala establert a la Llei 29/2021 depèn dels criteris següents:

  • a) El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una població determinada.
  • b) El volum i la varietat de dades tractades. En qualsevol cas, el tractament de dades personals de més de cinc mil afectats implica la consideració de tractament a gran escala.
  • c) La durada o la permanència de l’activitat de tractament.
  • d) L’extensió geogràfica de l’activitat de tractament.

6. Sense perjudici dels tractaments esmentats, d’acord amb la Llei 29/2021 l’Agència Andorrana de Protecció de Dades pot publicar en qualsevol moment una llista complementària d’activitats que requereixin una avaluació d’impacte. 7. Independentment del risc que pugui tenir una operació de tractament, no cal fer una avaluació d’impacte:

  • a) Si ja s’ha efectuat una avaluació d’impacte d’un altre tractament molt similar en naturalesa, abast, context i finalitats.
  • b) Quan el tractament està inclòs en una llista de tractaments (publicada per l’Agència Andorrana de Protecció de Dades) que no requereixen una avaluació d’impacte.

8. L’escala de riscos establerta a la Llei 29/2021 s’ha de fer tenint en compte els criteris d’impacte i de probabilitat d’amenaça. Per calcular el nivell de risc associat a un tractament de dades, el responsable del tractament ha de combinar la gravetat del possible impacte amb la probabilitat de l’amenaça, prenent sempre com a punt de vista i referència els interessats, d’acord amb la taula de valoració de riscos continguda a l’annex 1 d’aquest Reglament. 9. Quan, abans de començar un tractament, el responsable (o l’encarregat) del tractament constata que el risc de conseqüències per als drets i les llibertats de les persones és alt, ha de sotmetre a l’Agència Andorrana de Protecció de Dades la idoneïtat del tractament i les mesures que vol aplicar-hi. 10. La comunicació a l’Agència Andorrana de Protecció de Dades de les avaluacions d’impacte que suposin un alt risc establerta a la Llei 29/2021 es fa de forma telemàtica i s’hi adjunta la documentació definida a la mateixa Llei. L’Agència pot instar el responsable a aportar posteriorment qualsevol informació que consideri rellevant per donar resposta a la consulta feta. 1. Quan sigui probable que un tipus de tractament, especialment si utilitza noves tecnologies, i tenint en compte la seva naturalesa, l’abast, el context o les finalitats, pugui comportar un alt risc per als drets i les llibertats de les persones físiques, abans del tractament el responsable, ja sigui públic o privat, ha d’avaluar l’impacte de les operacions de tractament en la protecció de dades personals. En el cas d’una operació de tractament que ja està en marxa, s’ha de fer una avaluació d’impacte tan aviat com es detecti un risc greu per als drets i les llibertats de les persones. 2. L’avaluació d’impacte no és una tasca puntual, sinó que cal actualitzar-la periòdicament. 3. Un tractament comporta un risc alt o bé quan es produeixen les tres situacions especificades a la Llei 29/2021 o bé quan dos o més dels criteris següents apareixen en una operació de tractament: a) L’avaluació o puntuació dels interessats, inclosa l’elaboració de perfils. b) La presa de decisions automatitzades amb efectes jurídics significatius per a les persones físiques o que les afectin significativament de manera similar. c) L’observació sistemàtica d’interessats. d) Dades sensibles (especialment protegides). e) Un tractament de dades a gran escala. f) L’associació o la combinació de conjunts de dades. g) Dades relatives a interessats vulnerables, com ara menors, empleats o grups més vulnerables de la població que necessiten una protecció especial. h) L’ús innovador o l’aplicació de noves solucions tecnològiques o organitzatives. i) El tractament impedeix als interessats exercir un dret, utilitzar un servei o executar un contracte. j) Tractaments de dades economicofinanceres per part d’entitats bancàries o establiments financers. 4. El delegat de protecció de dades pot suggerir en qualsevol moment la realització d’una avaluació d’impacte i, en cas de dubte, s’ha de pronunciar sobre si aquesta avaluació és necessària o no ho és. 5. El concepte de gran escala establert a la Llei 29/2021 depèn dels criteris següents: a) El nombre de persones afectades, ja sigui en termes absoluts o com a proporció d’una població determinada. b) El volum i la varietat de dades tractades. En qualsevol cas, el tractament de dades personals de més de cinc mil afectats implica la consideració de tractament a gran escala. c) La durada o la permanència de l’activitat de tractament. d) L’extensió geogràfica de l’activitat de tractament. 6. Sense perjudici dels tractaments esmentats, d’acord amb la Llei 29/2021 l’Agència Andorrana de Protecció de Dades pot publicar en qualsevol moment una llista complementària d’activitats que requereixin una avaluació d’impacte. 7. Independentment del risc que pugui tenir una operació de tractament, no cal fer una avaluació d’impacte: a) Si ja s’ha efectuat una avaluació d’impacte d’un altre tractament molt similar en naturalesa, abast, context i finalitats. b) Quan el tractament està inclòs en una llista de tractaments (publicada per l’Agència Andorrana de Protecció de Dades) que no requereixen una avaluació d’impacte. 8. L’escala de riscos establerta a la Llei 29/2021 s’ha de fer tenint en compte els criteris d’impacte i de probabilitat d’amenaça. Per calcular el nivell de risc associat a un tractament de dades, el responsable del tractament ha de combinar la gravetat del possible impacte amb la probabilitat de l’amenaça, prenent sempre com a punt de vista i referència els interessats, d’acord amb la taula de valoració de riscos continguda a l’annex 1 d’aquest Reglament. 9. Quan, abans de començar un tractament, el responsable (o l’encarregat) del tractament constata que el risc de conseqüències per als drets i les llibertats de les persones és alt, ha de sotmetre a l’Agència Andorrana de Protecció de Dades la idoneïtat del tractament i les mesures que vol aplicar-hi. 10. La comunicació a l’Agència Andorrana de Protecció de Dades de les avaluacions d’impacte que suposin un alt risc establerta a la Llei 29/2021 es fa de forma telemàtica i s’hi adjunta la documentació definida a la mateixa Llei. L’Agència pot instar el responsable a aportar posteriorment qualsevol informació que consideri rellevant per donar resposta a la consulta feta.