Una de las novedades establecidas por el Reglamento General de Protección de Datos (RGPD), aplicable a partir del próximo 25 de mayo de 2018, es la obligación de una evaluación de impacto en la protección de Datos Personales (EIPD) en determinados casos.
Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales. Desde LETSLAW ya nos interesamos por las EIPD en un post anterior donde se destacaban las principales claves a tener en cuenta: https://letslaw.es/principales-claves-sobre-las-evaluaciones-de-impacto-en-la-proteccion-de-datos/.
En concreto, este primer análisis respondía a las cuestiones sobre qué es una EIPD, cuándo es obligatorio realizarla y cómo debe realizarse.
Si bien esta información viene dada por el nuevo RGPD, el Grupo de trabajo del Artículo 29 ha publicado recientemente unas Directrices sobre la Evaluación de Impacto relativa a la Protección de Datos y para determinar si el tratamiento “puede entrañar un alto riesgo” a efectos del Reglamento 2016/679, que interpretan la nueva normativa y ofrecen una serie de recomendaciones.
Las directrices dadas por el Grupo de Trabajo del Artículo 29 facilitan información importante sobre dos cuestiones principales (I) cuándo se entiende que tratamiento “puede entrañar un alto riesgo” y (II) qué puntos concretos debe contener una EIPD, que resumimos a continuación:
I. TRATAMIENTO DE DATOS QUE “PUEDE ENTRAÑAR UN ALTO RIESGO”.
El RGPD establece una obligación general de realizar una EIPD en su artículo 35, siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”.
Asimismo, el REGD establece tres casos particulares en los que siempre será necesario realizar una EIPD: (i) tratamientos a gran escala de datos sensibles, (ii) observación sistemática a gran escala de una zona de acceso público y (iii) tratamientos que impliquen la “evaluación sistemática y exhaustiva de aspectos personales” con base tecnológica, como puede ser la elaboración de perfiles para tomar decisiones que afecten jurídicamente al interesado.
Como indica el propio RGPD al referirse a estos tres casos “en particular”, se trata de una lista no exhaustiva. Puede haber operaciones de tratamiento de «alto riesgo» que no se contemplan en la citada lista, pero que presentan riesgos igualmente altos. Estas operaciones de procesamiento también estarán sujetas a la realización de una EIPD.
Con el fin de proporcionar un conjunto más concreto de operaciones de tratamiento que requieran un EIPD, el Grupo de Trabajo del Artículo 29 establece los siguientes criterios que las empresas deberán identificar en los tratamientos de datos realizados: