Una de las novedades establecidas por el Reglamento General de Protección de Datos (RGPD), aplicable a partir del próximo 25 de mayo de 2018, es la obligación de una evaluación de impacto en la protección de Datos Personales (EIPD) en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales. Desde LETSLAW ya nos interesamos por las EIPD en un post anterior donde se destacaban las principales claves a tener en cuenta: http://letslaw.es/principales-claves-sobre-las-evaluaciones-de-impacto-en-la-proteccion-de-datos/.

En concreto, este primer análisis respondía a las cuestiones sobre qué es una EIPD, cuándo es obligatorio realizarla y cómo debe realizarse.

Si bien esta información viene dada por el nuevo RGPD, el Grupo de trabajo del Artículo 29 ha publicado recientemente unas Directrices sobre la Evaluación de Impacto relativa a la Protección de Datos y para determinar si el tratamiento “puede entrañar un alto riesgo” a efectos del Reglamento 2016/679, que interpretan la nueva normativa y ofrecen una serie de recomendaciones.

Las directrices dadas por el Grupo de Trabajo del Artículo 29 facilitan información importante sobre dos cuestiones principales (I) cuándo se entiende que tratamiento “puede entrañar un alto riesgo” y (II) qué puntos concretos debe contener una EIPD, que resumimos a continuación:

I. TRATAMIENTO DE DATOS QUE “PUEDE ENTRAÑAR UN ALTO RIESGO”.

El RGPD establece una obligación general de realizar una EIPD en su artículo 35, siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”.

Asimismo, el REGD establece tres casos particulares en los que siempre será necesario realizar una EIPD: (i) tratamientos a gran escala de datos sensibles, (ii) observación sistemática a gran escala de una zona de acceso público y (iii) tratamientos que impliquen la “evaluación sistemática y exhaustiva de aspectos personales” con base tecnológica, como puede ser la elaboración de perfiles para tomar decisiones que afecten jurídicamente al interesado.

Como indica el propio RGPD al referirse a estos tres casos “en particular”, se trata de una lista no exhaustiva. Puede haber operaciones de tratamiento de “alto riesgo” que no se contemplan en la citada lista, pero que presentan riesgos igualmente altos. Estas operaciones de procesamiento también estarán sujetas a la realización de una EIPD.

Con el fin de proporcionar un conjunto más concreto de operaciones de tratamiento que requieran un EIPD, el Grupo de Trabajo del Artículo 29 establece los siguientes criterios que las empresas deberán identificar en los tratamientos de datos realizados:

  1. Evaluación o calificación, incluida la elaboración de perfiles y la predicción, especialmente de “aspectos relativos al rendimiento del trabajador, situación económica, salud, preferencias o intereses personales, comportamiento, ubicación o movimientos”.
  2. Toma de decisiones automatizadas con efectos significativos jurídicos o similares para los interesados. Se hace referencia al tratamiento que tenga por objeto la toma de decisiones sobre personas físicas que produzcan “efectos jurídicos en relación con la persona física” o que “afecten de manera similar a la persona física”.
  3. Vigilancia sistemática. Aquellos tratamientos de datos utilizados para observar, o controlar a los interesados. Este tipo de seguimiento es un criterio ya que los datos personales pueden recopilarse en circunstancias en que los interesados pueden no estar informados de quién está recopilando sus datos y con qué finalidades se utilizarán.
  4. Datos confidenciales. En este criterio se incluyen categorías especiales de datos, así como datos personales relativos a condenas o delitos penales. También podría incrementar el riesgo el tratamiento de datos de localización y de datos financieros.
  5. Datos procesados ​​a gran escala. Aunque el RGPD no define en qué consiste un tratamiento a gran escala, el Grupo de Trabajo del artículo 29 indica que deben tenerse en cuenta, en particular, los siguientes factores para determinar si el tratamiento se realiza a gran escala:

– El número de sujetos afectados;

– El volumen de datos;

– La duración o permanencia de la actividad de procesamiento de datos;

– La extensión geográfica.

  1. Conjuntos de datos que han sido combinados. En este caso, se tratan datos originarios de dos o más operaciones de tratamiento de datos realizadas con fines diferentes y / o por diferentes responsables de manera que la finalidad exceda de las expectativas razonables del interesado.
  2. Datos relativos a personas vulnerables. El tratamiento de este tipo de datos puede requerir la realización de una EIPD debido al aumento del desequilibrio de poder entre el interesado y el responsable del tratamiento. Por ejemplo, pueden ser considerados como sujetos vulnerables: los trabajadores, los niños, los enfermos mentales, los solicitantes de asilo, los ancianos, un paciente o cualquier persona en una situación en la que pueda detectarse un desequilibrio en la relación interesado-responsable.
  3. Uso innovador o aplicación de soluciones tecnológicas u organizativas. El RGPD deja claro que el uso de una nueva tecnología puede desencadenar la necesidad de llevar a cabo un EIPD debido a que el uso de dicha tecnología puede implicar nuevas formas de captación y uso de datos, pudiendo suponer un alto riesgo para los derechos de los interesados (por ejemplo, combinar el uso de la huella dactilar y el reconocimiento facial para mejorar el control de acceso físico).
  4. Transferencia de datos transfronterizos fuera de la Unión Europea. Deberá tenerse en cuenta, entre otros aspectos, el país o países de destino previstos, la posibilidad de realización de transferencias adicionales o la probabilidad de transferencias basadas en excepciones para situaciones específicas establecidas por el RGPD.
  5. Cuando el tratamiento en sí mismo “evite que los interesados ​​ejerzan un derecho o utilicen un servicio o un contrato”. Esto incluye tratamientos realizados en un área pública que las personas que pasan no pueden evitar, o tratamientos que tienen por objeto permitir, modificar o denegar el acceso de los interesados a un servicio o la celebración de un contrato (por ejemplo, un banco que examina a sus clientes contra una base de datos de referencia de crédito para decidir si ofrecerles un préstamo).

El WP29 considera que cuantos más criterios cumpla el tratamiento de datos realizado por una empresa, más probable será que dicho tratamiento presente un alto riesgo para los derechos y libertades de los interesados ​​y, por lo tanto, requiera la realización de una EIPD.

Como regla general, los tratamientos que cumplan por lo menos dos de estos criterios requerirán una EIPD.

En los casos en que no está claro si se requiere un EIPD, el Grupo de Trabajo del Artículo 29 recomienda que se realice, ya que siempre es una herramienta útil para ayudar a los responsables de datos a cumplir con la normativa de protección de datos.

II. CONTENIDO DE UNA EVALUACIÓN DE IMPACTO COMPLETA:

El Grupo de Trabajo del Artículo 29 propone los siguientes criterios que los responsables de datos pueden utilizar para evaluar si un EIPD o una metodología para llevar a cabo un EIPD es adecuada conforme al RGPD:

  1. Proporcionar una descripción sistemática del tratamiento que contenga la siguiente información:

–          Naturaleza, el alcance, el contexto y los objetivos del tratamiento;

–          Registro de los datos personales, los destinatarios y el período durante el cual se almacenarán los datos personales;

–          Descripción funcional del tratamiento;

–          Se indican los activos que contendrán los datos personales (hardware, software, redes, personas, canales de transmisión de papel o papel);

–          Se tiene en cuenta el cumplimiento de los códigos de conducta aprobados.

  1. Evaluación de la necesidad y la proporcionalidad del tratamiento de datos, y determinación de las medidas previstas para cumplir el RGPD teniendo en cuenta:
  • Las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:

–          objetivos específicos, explícitos y legítimos;

–          legalidad del tratamiento;

–          adecuación, pertinencia y limitación del tratamiento a los datos necesarios;

–          duración limitada del almacenamiento.

  • Las medidas que contribuyen al cumplimiento con los derechos de los interesados, teniendo en cuenta:

–          información facilitada al interesado,

–          derecho de acceso y portabilidad de los datos,

–          derecho de rectificación, cancelación, oposición y limitación del tratamiento;

–          destinatarios;

–          encargados de tratamiento;

–          seguridad de las transferencias internacionales;

–          consulta previa.

  1. Gestión de los riesgos para los derechos y libertades de los interesados:
  • Se tienen en cuenta el origen,Riesgo, La Palabra, Cartas, Boggle la naturaleza, la particularidad y la gravedad de los riesgos o, más concretamente, para cada riesgo desde la perspectiva de los interesados, analizando:

–          las fuentes de riesgos;

–          los posibles efectos sobre los derechos y libertades de los interesados que se detecten en caso de acceso ilegítimo, modificación no deseada y desaparición de datos;

–          amenazas que podrían conducir al acceso ilegítimo, modificación no deseada y desaparición de datos;

–          probabilidad y la gravedad;

  • Se determinen las medidas previstas para el tratamiento los riesgos identificados.
  1. Participación de las partes interesadas y definición concreta de sus responsabilidades:

– Se solicita el asesoramiento del Delegado de Protección de Datos.

– Se solicita la opinión de los interesados o de sus representantes.

  • RECOMENDACIONES:

Cuando se planifique un tratamiento de datos que pueda ser considerado como de alto riesgo, el responsable del tratamiento deberá:

– Elegir una metodología EIPD que incluya el contenido descrito anteriormente;

– Proporcionar el informe resultante de la EIPD a la autoridad de supervisión competente cuando así se requiera;

– Consultar a la autoridad de supervisión cuando no hayan podido determinar medidas suficientes para mitigar los riesgos elevados;

– Revisar periódicamente la EIPD y el tratamiento que evalúa, y al menos cuando se produzca un cambio en el riesgo que supone el tratamiento de datos analizado;

– Documentar las decisiones adoptadas.

  • ¿QUÉ CONSECUENCIAS TIENE EL INCUMPLIMIENTO DE LOS REQUISITOS SOBRE LA EVALUACIÓN DE IMPACTO?

En el marco del RGPD, el incumplimiento de los requisitos relativos a las EIPD puede dar lugar a multas impuestas por la autoridad supervisora ​​competente.

En concreto, el incumplimiento del deber de realizar una EIPD cuando el RGPD así lo exija, la realización de una EIPD de forma incorrecta (por ejemplo, sin recabar el asesoramiento del delegado de protección de datos o que no incluya el contenido mínimo) o la omisión de consulta previa a la autoridad de control competente cuando la EIPD revele la existencia de un alto riesgo, pueden dar lugar a la imposición de multas administrativas de hasta 10 millones de euros o hasta un 2% del total del volumen de negocios anual del ejercicio precedente (se optará por la cantidad más elevada).

Letslaw es un despacho especializado en derecho digital, protección de datos y nuevas tecnologías.