La nova legislació disposa que les entitats realitzin avaluacions d’impacte en matèria de protecció de dades quan es consideri que les operacions de tractament de les mateixes poden suposar un alt risc per als drets i llibertats de les persones.

Aquest risc, sobretot, es refereix a aquelles situacions en què les dades són especialment sensibles i quan s’utilitzen noves tecnologies per al seu tractament.

L’avaluació d’impacte consisteix en una anàlisi dels riscos que es poden derivar del propi tractament de les dades que fa l’entitat i que poden afectar la seva protecció. A més, a conseqüència d’aquesta anàlisi, s’han de prendre les mesures necessàries per eliminar aquests riscos, o almenys, reduir-los.

Les principals qüestions a tenir en compte a l’hora de realitzar l’avaluació d’impacte són les següents:

• Anàlisi en profunditat del projecte tenint en compte les dades a tractar, els fluxos d’informació i la tecnologia utilitzada per al seu tractament.
• Identificació dels riscos per a les dades personals i quins danys es produirien.
• Determinació de les mesures a adoptar per eliminar o disminuir el risc.
• Elaboració d’un informe final amb els riscos i les mesures a incorporar.
• Assegurar-se que el tractament compleix amb els requeriments legals establerts.
• Assignació dels recursos necessaris per implementar les mesures adequades.
• Revisió dels sistemes de tractament per comprovar l’efectivitat del resultat de l’avaluació d’impacte.

La legislació estableix la figura del Delegat/da de Protecció de Dades (DPO), el qual té com a funció actuar com a garant del compliment de la normativa de protecció de dades dins de l’entitat.

No totes les entitats han de disposar d’aquesta figura, sinó que està pensada, sobretot, per als organismes o empreses públiques, per a aquelles entitats que facin un tractament de dades a gran escala i requereixin una observació habitual i sistemàtica, i també per a les organitzacions que disposin de dades especialment sensibles o relatives a condemnes o infraccions penals.

El DPO pot ser una persona interna de l’organització o bé es podrà realitzar una contractació externa però, en tot cas, la persona que ha de desenvolupar aquesta tasca ha de tenir coneixements sòlids de dret i de protecció de dades, ja que es tracta d’una persona experta en la matèria que ha de vetllar per a la coordinació i control de la normativa de protecció de dades.

Les seves funcions principals són les següents:

• Informar i assessorar al responsable del tractament de dades de les seves obligacions per complir amb la normativa.
• Supervisar la implementació i aplicació de la legislació vigent.
• Dur un control de la documentació i comunicacions de les violacions de seguretat.
• Gestionar les sol·licituds d’exercici de drets per part dels interessats/des.
• Supervisar la realització de l’avaluació d’impacte.
• Ser el punt de contacte amb l’autoritat de control pel que fa al tractament de dades.
• Realitzar formació al personal de l’entitat.