En este artículo intentaré dar respuesta a las siguientes cuestiones referidas a las Evaluaciones de Impacto en Protección de Datos (EIPD):
- ¿Qué es una EIPD?
- ¿Quién debe realizarla?
- ¿Cuándo es obligatoria?
- ¿Cuál es su contenido mínimo?
El tema de las EIPD es complejo, pero intentaré responder a las preguntas formuladas de la forma más clara posible.
¿Qué es una EIPD?
No busquen una definición legal, porque no la encontrarán. Sencillamente porque no existe.
La Agencia Española de Protección de Datos (AEPD) en su Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD describe las EIPD como «una herramienta con carácter preventivo, que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable». Dicha guía define, también, a las EIPD como «un escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad».
Para entenderlo, una EIPD viene a ser un estudio previo al tratamiento de datos que permite concretar los riesgos que se pueden derivar de dicho tratamiento y en función de los resultados obtenidos decidir las medidas a adoptar, con el objetivo de garantizar los derechos y libertades de los afectados, tratando de mitigar dichos riesgos hasta un nivel considerado como aceptable o asumible.
¿Quién debe realizarla?
El artículo 35.2 del RGPD establece que «el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos».
La designación del delegado de protección de datos solo es obligatoria en las circunstancias previstas en el artículo 37.1 del RGPD y en los supuestos enumerados en el artículo 34.1 de la LOPDGDD, aunque nada impide que el responsable del tratamiento pueda designar un delegado de protección de datos si lo considere necesario para su organización. Dicho esto, la obligación de hacer la EIPD corresponde al responsable del tratamiento, que puede realizarla con medios propios o a través de una consultoría externa. La participación del delegado de protección de datos en la elaboración debe entenderse como una función de asesoramiento.
En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que se implanten los controles y las medidas resultantes de la evaluación.
¿Cuándo es obligatoria?
Una EIPD no es obligatoria por defecto. Será obligatoria en aquellos casos en los que sea probable que el tratamiento de datos personales implique un riesgo alto para los derechos y las libertades de las personas físicas, según se desprende de los artículos 35.1 del RGPD y 28 de la LOPDGDD. A partir de un análisis previo, determinaremos la intensidad del riesgo y la necesidad, o no, de realizar una EIPD.
A pesar de ser un concepto fundamental en protección de datos, ni el RGPD ni la LOPDGDD definen el «riesgo». El Grupo de Trabajo del Artículo 29 nos ofrece una definición de riesgo, que describe como «aquel escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad». Ejemplos de riesgos son los siguientes:
- Reversión no autorizada de la seudonimización.
- Pérdida de confidencialidad de datos sujetos al secreto profesional.
- Pérdida de control sobre los datos personales.
- Restricción de derechos de los interesados.
- Discriminación.
- Usurpación de identidad.
En todo caso, una EIPD resultará de obligado cumplimiento:
- Cuando se traten datos de categorías especiales o sensibles, esto es, aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o vida sexual u orientación sexual de una persona o relativos a condenas e infracciones penales.
- Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales con el fin de crear perfiles de personas físicas, en particular, mediante el análisis de aspectos referidos a la salud, situación económica, intereses personales, solvencia financiera, localización, rendimiento en el trabajo, etc.
- Cuando se realice un tratamiento de datos personales a gran escala, afectando a un gran número de personas o bien cuando se utilizan nuevas tecnologías a gran escala.
- Cuando los datos personales fuesen a ser objeto de transferencia internacional, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
- Cualesquiera otros que a juicio del responsable o encargado del tratamiento pudieran tener relevancia y, en particular, aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
Que una EIPD no sea obligatoria, a tenor de lo previsto en la normativa, no quiere decir que, en determinados casos, no sea aconsejable realizarla. Por ejemplo:
- Cuando el tratamiento de datos afecte a colectivos especialmente vulnerables como menores de edad, en particular si tienen menos de catorce años, y discapacitados.
- Cuando se tenga previsto aplicar soluciones tecnológicas para el control diario de jornada como el uso de la huella dactilar o geolocalización en trabajos móviles (transportistas, repartidores, etc.).
- Cuando se tenga previsto utilizar tecnologías especialmente invasivas para la intimidad de las personas como la videovigilancia, uso de drones, minería de datos y cualesquiera otras que puedan desarrollarse en el futuro.
- Cuando el tratamiento pueda establecer diferencias de trato o trato discriminatorio o pueda comportar un riesgo de discriminación de cualquier tipo (social, racial, sexual, etc.)
- Cuando los datos personales se estén usando para finalidades distintas a las que se decidieron en su momento, o se están recogiendo más datos o diferentes de los que, en principio, se necesitaban y, en particular, si las nuevas finalidades son más intrusivas para los afectados.
- Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.
Al amparo de lo establecido en el artículo 35 apartado 4 del RGPD, la AEPD publicó una lista de tipos de tratamientos de datos que requieren una EIPD. Pueden consular dicha lista haciendo clic aquí.
Asimismo, al amparo de lo establecido en el artículo 35 apartado 5 del RGPD, la AEPD publicó una lista orientativa de tipos de tratamientos que no requieren una EIPD. Haciendo clic aquí pueden consultar dicha lista.
¿Cuál es el contenido mínimo?.
El RGPD dispone en su artículo 35 apartado 7 que toda evaluación incluirá como mínimo:
- Una descripción sistemática de las operaciones de tratamiento y su finalidad, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas de seguridad y mecanismos previstos para afrontar los riesgos y garantizar la protección de los datos personales, teniendo en cuenta los derechos y los intereses legítimos de los interesados y de otras personas afectadas.
La AEPD en su guía para la gestión del riesgo y evaluación de impacto en tratamientos de datos personales distingue ocho fases sucesivas en la realización de una EIPD: 1.- Análisis de necesidad; 2.- Descripción del proyecto y de los flujos de información; 3.- Identificación de los riesgos; 4.- Gestión de los riesgos identificados; 5.- Análisis de cumplimiento normativo; 6.- Informe final; 7.- Implantación de las recomendaciones; y 8.- Revisión y realimentación.
En el artículo siguiente les desarrollaré el contenido mínimo de una EIPD (enlazado aquí).
Sanciones
No realizar una EIPD, cuando procede, es sancionable. Por ejemplo, implantar controles de acceso mediante huella dactilar sin evaluar previamente el impacto de la medida se sanciona con 20.000 € (Resolución AEPD PS/00010/2021).
Tengan muy presente que una EIPD no se agota cuando se entrega el informe al responsable del tratamiento; más bien, al contrario, es a partir de ese instante cuando se inicia un proceso de mejora continua, que exige la revisión y actualización de la EIPD en atención a los cambios que experimente la operación de tratamiento. Solo así será eficaz y se garantizarán los derechos y libertades de los afectados.