El Consejo de Transparencia y Protección de Datos de Andalucía ha elaborado una guía, dirigida a las administraciones públicas andaluzas, que proporciona unas orientaciones para fomentar el cumplimiento del derecho a la protección de datos personales en la elaboración de las disposiciones normativas, así como un modelo para facilitar la realización de un análisis del impacto en la protección de datos personales de lo regulado en las mismas.
La aplicación del principio de protección de datos desde el diseño, recogido en el artículo 25 RGPD, en el ámbito de la elaboración de disposiciones normativas convierte en especialmente relevante la necesidad de que en las mismas se contemple un adecuado tratamiento de los datos personales, incluyendo las previsiones y garantías que exige la normativa sobre protección de datos.
Es por ello por lo que para la realización del mencionado análisis, con carácter previo a la aprobación de la disposición, debe contarse con la participación y asesoramiento del Delegado de Protección de Datos (DPD).
Tanto este análisis del impacto en la protección de datos personales (AIPD), como el informe preceptivo emitido por la Comisión Consultiva del Consejo de Transparencia y Protección de Datos de Andalucía, en los casos en que corresponda, conformarían una "Memoria relativa a la protección de datos" que, bien como documento autónomo o bien integrado en la "Memoria de Análisis de Impacto Normativo", debe formar parte de la documentación necesaria para la aprobación de la norma.
En la guía se relacionan y describen los pasos que deben seguirse para la realización del análisis de impacto en relación con la protección de datos personales; entre estos, la identificación tanto del responsable de realizar el análisis como del DPD, la verificación de la posible existencia de tratamientos de datos personales ya sea porque expresamente la norma lo prevé o como consecuencia de su aplicación, la evaluación de la necesidad y proporcionalidad de dichos tratamientos, así como de su legitimación, la inclusión de garantías en relación con los mismos, un análisis de los riesgos para los derechos y libertades de las personas, o la verificación de la coherencia jurídica de la norma con el marco regulatorio de la protección de datos personales.
A través de la guía que ahora se publica, el Consejo pone a disposición de las administraciones públicas andaluzas un instrumento que permite a los responsables de tratamientos incluir garantías para el cumplimiento de la normativa de protección de datos personales desde el origen de dichos tratamientos, potenciando así el ejercicio de la responsabilidad proactiva que la mencionada normativa exige a dichos responsables.