L'AEPD exclut les avocats de l'obligation de réaliser une analyse d'impact sur la protection des données

• L'AEPD a préparé cette liste pour aider les responsables à identifier les traitements dans lesquels il n'est pas obligatoire d'effectuer une analyse d'impact sur la protection des données
• La liste complète, qui comprend les avocats exerçant individuellement, de ces traitements peut être consultée ici !

L'Agence espagnole de protection des données (AEPD) a inclus des avocats dans la liste des traitements de données à caractère personnel dans lesquels il n'est pas obligatoire de réaliser une analyse d'impact, dans le but de faciliter l'identification de ce type par les responsables des traitements. Le règlement général sur la protection des données (RGPD) stipule dans son article 35.1 que les organismes qui traitent des données sont tenus de réaliser une étude d'impact relative à la protection des données (EIPD) avant d'effectuer lesdits traitements lorsqu'il est probable que, selon leur nature, la portée, le contexte ou les finalités posent un risque élevé pour les droits et libertés des personnes.

Parmi les traitements qui font partie de la liste se trouvent, entre autres, ceux qui réalisent travailleurs indépendants exerçant individuellement, en particulier les avocats, les médecins ou les professionnels de la santé, nonobstant le fait que cela peut être requis lorsque lesdits traitements répondent à deux ou plusieurs critères établis dans la liste des types de traitements de données nécessitant la DIPE; ainsi que celles requises par la loi et effectuées en relation avec la gestion interne du personnel des PME à des fins de comptabilité, de gestion des ressources humaines et de paie, de sécurité sociale et de santé au travail, mais jamais liées aux données clients.

En revanche, le paragraphe 5 du même article dispose que les autorités de contrôle peuvent publier la liste des types de traitement qui ne nécessitent pas d'analyse d'impact. De même, et comme prévu par le RGPD, l'Agence a communiqué au Comité européen de la protection des données (CEPD) la liste, qui est également disponible en Anglais. Cette liste, qui ne dispense pas de se conformer au reste des obligations établies dans le règlement sur la protection des données, complète celle publiée précédemment par l'Agence lorsque celles-ci traitements dans lesquels il est obligatoire de réaliser une AIPD.

L'Agence a défini qu'il ne sera pas nécessaire de réaliser une DIPE lorsque des traitements sont effectués selon des lignes directrices contenues dans des circulaires ou des décisions précédemment émises par les autorités de contrôle, en particulier l'AEPD, tant que le traitement n'a pas été modifié depuis a été autorisé.

Il n'est pas non plus nécessaire si le traitement est effectué conformément aux codes de conduite approuvés par la Commission européenne ou les autorités de contrôle, à condition qu'une DPIA ait déjà été effectuée pour valider ledit code de conduite et inclue les garanties définies dans l'analyse d'impact . . .

 Évaluations d'impact

Le règlement établit que dans les cas où il est probable que les traitements impliquent un risque élevé pour les droits et libertés des personnes physiques, il incombe au responsable du traitement de réaliser une analyse d'impact relative à la protection des données, qui évalue, en particulier, l'origine, la nature, la particularité et la gravité du risque.

L'AEPD a déjà publié différentes ressources pour faciliter le respect de cette obligation, comme le Guide pour les analyses d'impact sur la protection des données personnelles; la liste des types de traitement de données nécessitant une DPIA; Gestiona, un outil d'analyse des risques et d'évolution d'impacts, ou Modèle de rapport DPIA pour les administrations publiques.