Datos sujetos a Evaluación de Impacto

Fuente de la imagen: mvc archivo propio

El Reglamento Europeo de Protección de Datos (REPD o RGPD), establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas, incumbe al responsable del tratamiento realizar una evaluación de impacto (EI) relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo. En su artículo 35.1 se apunta que las organizaciones que tratan datos tienen obligación de realizar una EIPD[1] con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas. Por otro lado, el apartado 4 de ese mismo artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas. La EIPD ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. Como herramienta de ayuda al cumplimiento, la AEPD[2] presentó con anterioridad a la aplicación del RGPD las guías de Análisis de Riesgo y EIPD[3]. 

La Agencia ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de una lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Según la AEPD, cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto. En esa línea, la AEPD recientemente ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto, relación que ya se informó y linkeó en el sitio Protección de Datos, texto "Tratamientos de datos sujetos a evaluación de impacto"[4], y que tiene la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos (CEPD), que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales. Fuente de la información: AEPD. Fuente de la imagen: mvc archivo propio.

____________________

[1] Evaluación de Impacto relativa a la Protección de Datos.

[2] Agencia Española de Protección de Datos.

[3] Sitio visitado el 08/05/2019.

[4] Velasco Carretero, Manuel. Tratamientos de datos sujetos a evaluación de impacto. Sitio Protección de Datos. 2019. Sitio visitado el 08/05/2019.