Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluación de Impacto: ¿Qué es?. ¿Quién debe realizarla?. ¿Cuándo es obligatoria? y ¿Cuál es su contenido mínimo?

En este artículo intentaré dar respuesta a las siguientes cuestiones referidas a las Evaluaciones de Impacto en Protección de Datos (EIPD):

  1.   ¿Qué es una EIPD?
  2.   ¿Quién debe realizarla?
  3.   ¿Cuándo es obligatoria?
  4.   ¿Cuál es su contenido mínimo?

El tema de las EIPD es complejo, pero intentaré responder a las preguntas formuladas de la forma más clara posible.

¿Qué es una EIPD?

No busquen una definición legal, porque no la encontrarán. Sencillamente porque no existe.

La Agencia Española de Protección de Datos (AEPD) en su Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD describe las EIPD como «una herramienta con carácter preventivo, que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable». Dicha guía define, también, a las EIPD como «un escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad».

Para entenderlo, una EIPD viene a ser un estudio previo al tratamiento de datos que permite concretar los riesgos que se pueden derivar de dicho tratamiento y en función de los resultados obtenidos decidir las medidas a adoptar, con el objetivo de garantizar los derechos y libertades de los afectados, tratando de mitigar dichos riesgos hasta un nivel considerado como aceptable o asumible.

¿Quién debe realizarla?

El artículo 35.2 del RGPD establece que «el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos».

La designación del delegado de protección de datos solo es obligatoria en las circunstancias previstas en el artículo 37.1 del RGPD y en los supuestos enumerados en el artículo 34.1 de la LOPDGDD, aunque nada impide que el responsable del tratamiento pueda designar un delegado de protección de datos si lo considere necesario para su organización. Dicho esto, la obligación de hacer la EIPD corresponde al responsable del tratamiento, que puede realizarla con medios propios o a través de una consultoría externa. La participación del delegado de protección de datos en la elaboración debe entenderse como una función de asesoramiento.

En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que se implanten los controles y las medidas resultantes de la evaluación.

¿Cuándo es obligatoria?

Siguiendo las Directrices del Grupo de Trabajo del Artículo 29 sobre la evaluación de impacto relativa a la protección de datos y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, en consonancia con el enfoque basado en el riesgo introducido por el RGPD, «no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento. Solo se exige cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas (artículo 35 apartado 1)».

A pesar de ser un concepto fundamental en protección de datos, ni el RGPD ni la LOPDGDD definen el «riesgo». El Grupo de Trabajo del Artículo 29 nos ofrece una definición de riesgo, que describe como «aquel escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad». Ejemplos de riesgos son los siguientes:

  • Reversión no autorizada de la seudonimización.
  • Pérdida de confidencialidad de datos sujetos al secreto profesional.
  • Pérdida de control sobre los datos personales.
  • Restricción de derechos de los interesados.
  • Discriminación.
  • Usurpación de identidad.

Al amparo de lo establecido en el artículo 35 apartado 4 del RGPD, la AEPD publicó una lista de tipos de tratamientos de datos que requieren una EIPD. Veamos:

  • Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  • Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  • Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  • Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  • Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.

Que una EIPD no sea obligatoria, a tenor de lo previsto en la normativa, no quiere decir que, en determinados casos, no sea aconsejable realizarla. Por ejemplo:

  • Cuando se tenga previsto aplicar soluciones tecnológicas para el control diario de jornada o geolocalización en trabajos móviles (transportistas, repartidores, etc.).
  • Cuando se tenga previsto utilizar tecnologías especialmente invasivas para la intimidad de las personas como la videovigilancia, uso de drones, minería de datos y cualesquiera otras que puedan desarrollarse en el futuro.
  • Cuando el tratamiento pueda establecer diferencias de trato o trato discriminatorio o pueda comportar un riesgo de discriminación de cualquier tipo. 
  • Cuando los datos personales se estén usando para finalidades distintas a las que se decidieron en su momento, o se están recogiendo más datos o diferentes de los que, en principio, se necesitaban y, en particular, si las nuevas finalidades son más intrusivas para los afectados.
  • Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.

Al amparo de lo establecido en el artículo 35 apartado 5 del RGPD, la AEPD también ha publicado una lista orientativa de tipos de tratamientos que no requieren una EIPD.

¿Cuál es el contenido mínimo?.

El RGPD dispone en su artículo 35 apartado 7 que toda evaluación incluirá como mínimo:

  1. Una descripción sistemática de las operaciones de tratamiento y su finalidad, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados.
  4. Las medidas de seguridad y mecanismos previstos para afrontar los riesgos y garantizar la protección de los datos personales, teniendo en cuenta los derechos y los intereses legítimos de los interesados y de otras personas afectadas.

La AEPD en su guía para la gestión del riesgo y evaluación de impacto en tratamientos de datos personales distingue ocho fases sucesivas en la realización de una EIPD: 1.- Análisis de necesidad; 2.- Descripción del proyecto y de los flujos de información; 3.- Identificación de los riesgos; 4.- Gestión de los riesgos identificados; 5.- Análisis de cumplimiento normativo; 6.- Informe final; 7.- Implantación de las recomendaciones; y 8.- Revisión y realimentación.

En el artículo siguiente les desarrollaré el contenido mínimo de una EIPD (enlazado aquí).

Sanciones

No realizar una EIPD, cuando procede, es sancionable. Por ejemplo, implantar controles de acceso mediante huella dactilar sin evaluar previamente el impacto de la medida se sanciona con 20.000 € (Resolución AEPD PS/00010/2021).

Tengan muy presente que una EIPD no se agota cuando se entrega el informe al responsable del tratamiento; más bien, al contrario, es a partir de ese instante cuando se inicia un proceso de mejora continua, que exige la revisión y actualización de la EIPD en atención a los cambios que experimente la operación de tratamiento. Solo así será eficaz y se garantizarán los derechos y libertades de los afectados.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).