Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluación de Impacto: ¿Qué es?. ¿Quién debe realizarla?. ¿Cuándo es obligatoria? y ¿Cuál es su contenido mínimo?

Hoy les planteo cuatro preguntas en relación a las Evaluaciones de Impacto en Protección de Datos (EIPD):

  1.   ¿Qué es una EIPD?.
  2.   ¿Quién debe realizarla?.
  3.   ¿Cuándo es obligatoria?.
  4.   ¿Cuál es su contenido mínimo?.

Las EIPD es un tema complejo de explicar y de desarrollar, pero intentaré responder a las preguntas antes formuladas de la forma más clara posible para arrojar un poco de luz.

¿Qué es una EIPD?

No busquen una definición legal, porque no la encontrarán. Sencillamente porque no existe.

La Agencia Española de Protección de Datos (AEPD) en su “Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD” la describe como «una herramienta con carácter preventivo, que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable». Dicha guía define, también, a las EIPD como «un escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad».

Una EIPD viene a ser un estudio previo al tratamiento de datos que permite concretar los riesgos que se pueden derivar de dicho tratamiento y en función de sus resultados decidir las medidas a adoptar con el objetivo de garantizar los derechos y libertades de los afectados, tratando de mitigar dichos riesgos hasta un nivel considerado como aceptable o asumible.

¿Quién debe realizarla?

El artículo 35.2 del RGPD dispone: «El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos».

La designación del delegado de protección de datos solo es obligatoria en las circunstancias previstas en el artículo 37.1 del RGPD y en los casos enumerados en el artículo 34.1 de la LOPDGDD, aunque nada impide que el responsable del tratamiento pueda designar, de forma voluntaria, un delegado de protección de datos si lo considere necesario para su organización. Dicho esto, la obligación de hacer la EIPD corresponde al responsable del tratamiento, que puede realizarla con medios propios o a través de una consultoría externa. La participación del delegado de protección de datos en la elaboración debe entenderse como una función de asesoramiento.

En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y las medidas resultantes de la evaluación.

¿Cuándo es obligatoria?

Una EIPD no es obligatoria por defecto, a menos que sea probable que el tratamiento de los datos implique un riesgo alto para los derechos y libertades de las personas físicas, según se desprende del artículo 35.1 del RGPD y del artículo 28 LOPDGDD. A partir de un análisis previo determinaremos la intensidad del riesgo y la necesidad, o no, de realizar una EIPD.

A pesar de ser un concepto fundamental en protección de datos, el RGPD no define el “riesgo”. El GT29 define el “riesgo” como «aquel escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad». El “riesgo” es la contingencia o proximidad de un daño que implica la necesidad de identificarlo y evaluarlo para mitigarlo. En la práctica, tendemos a considerar el riesgo en sentido amplio, incluido riesgos derivados o que pudieran derivarse, como se establece en las violaciones de seguridad, considerados éstos como:

  • Perjuicios físicos materiales o inmateriales para las personas físicas.
  • Pérdida de control sobre sus datos personales.
  • Restricción de sus derechos.
  • Discriminación.
  • Usurpación de identidad.
  • Pérdidas financieras.
  • Reversión no autorizada de la seudonimización.
  • Daño para la reputación.
  • Pérdida de confidencialidad de datos sujetos al secreto profesional.
  • Cualquier otro perjuicio económico o social para la persona física.

Una EIPD resultará de obligado cumplimiento en los siguientes casos:

  1. Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales, con el fin de crear perfiles, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, solvencia financiera, localización o movimientos.
  2. Cuando se traten categorías especiales de datos, que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, el tratamiento de datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o vida sexual u orientación sexual de una persona física, o relativos a condenas e infracciones penales.
  3. Cuando se realice un tratamiento de datos personales a gran escala, afectando a un gran número de personas o bien cuando se utilizan nuevas tecnologías a gran escala.
  4. Cuando los datos personales fuesen a ser objeto de transferencia internacional, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
  5. Cualesquiera otros que a juicio del responsable o encargado del tratamiento pudieran tener relevancia y, en particular, aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Que una EIPD no sea obligatoria, a tenor de lo previsto en la normativa, no quiere decir que, en determinados casos, no sea aconsejable realizarla. Por ejemplo:

  • Cuando el tratamiento de datos afecte a colectivos especialmente vulnerables como menores de edad, en particular si tienen menos de catorce años, y discapacitados.
  • Cuando se tenga previsto aplicar soluciones tecnológicas para el control diario de jornada como el uso de la huella dactilar o geolocalización en trabajos “móviles” (transportistas, repartidores, etc.).
  • Cuando se tenga previsto utilizar tecnologías especialmente invasivas para la intimidad del individuo como la videovigilancia, uso de drones, minería de datos y cualesquiera otras que puedan desarrollarse en el futuro.
  • Cuando el tratamiento pueda establecer diferencias de trato o trato discriminatorio o pueda comportar un riesgo de discriminación de cualquier tipo (económico, social, político, racial, sexual, etc.)
  • Cuando los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, o se están recogiendo más datos o diferentes de los que, en principio, se necesitaban y, en particular, si las nuevas finalidades son más intrusivas para los afectados.
  • Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.

En la práctica, se analizará “caso por caso”. Por ejemplo, no creemos obligatoria realizar una EIPD en el caso de un solo médico que maneja datos relativos a la salud de sus pacientes, pero sí la creemos obligatoria si esa base de datos se comparte con otros médicos dentro de la misma consulta, en tanto que se eleva el nivel de riesgo, al aumentar el número de usuarios de dicha base de datos.

Al amparo de lo establecido en el artículo 35.4 del RGPD, la AEPD publicó una lista de tipos de tratamientos de datos que requieren una EIPD. Les dejo el correspondiente enlace:

https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf

Asimismo, al amparo de lo establecido en el artículo 35.5 del RGPD, la AEPD publicó una lista orientativa de tipos de tratamientos que no requieren una EIPD. También les dejo el correspondiente enlace:

https://www.aepd.es/sites/default/files/2019-12/ListasDPIA-35.5l.pdf

¿Cuál es el contenido mínimo?.

El RGPD dispone en su artículo 35 apartado 7 que toda evaluación incluirá como mínimo:

  1. Una descripción sistemática de las operaciones de tratamiento y su finalidad, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados.
  4. Las medidas de seguridad y mecanismos previstos para afrontar los riesgos y garantizar la protección de los datos personales, teniendo en cuenta los derechos y los intereses legítimos de los interesados y de otras personas afectadas.

La “Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD” elaborada por la AEPD distingue ocho fases sucesivas en la realización de una EIPD: Análisis de necesidad; Descripción del proyecto y de los flujos de información; Identificación de los riesgos; Gestión de los riesgos identificados; Análisis de cumplimiento normativo; Informe final; Implantación de las recomendaciones; y Revisión y realimentación.

Tengan muy presente que una EIPD no se agota cuando se entrega el informe al responsable del tratamiento; más bien, al contrario, es a partir de ese instante cuando se inicia un proceso de mejora continua, que exige la revisión y actualización de la EIPD en atención a los cambios que experimente la operación de tratamiento. Solo así será eficaz y se garantizarán los derechos y libertades de los afectados.

En el siguiente artículo les desarrollaré el contenido mínimo de una EIPD.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual