Evaluación de Impacto de Protección de Datos: Aspectos esenciales
La Evaluación de Impacto de Protección de Datos (EIPD) es un nuevo concepto que el RGPD introdujo en el año 2018. Mediante su aprobación y entrada en vigor, este concepto en forma de obligación, pretende mejorar las garantías de los tratamientos de datos personales cuando el responsable del tratamiento detecte que existe un alto riesgo.
Este nuevo mecanismo es, en efecto, lo que se conoce como Evaluación de Impacto de Protección de Datos (EIPD).
Qué es la Evaluación de Impacto de Protección de Datos
La EIPD, tal y como la define la AEPD, es “una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos”.
Esta EIPD permite determinar las implicaciones que un tratamiento puede tener en los derechos y libertades de los interesados cuando dicho tratamiento sea susceptible de generar un alto riesgo, entre otros aspectos, por el tipo de datos personales que se van a tratar o por el entorno y el contexto en el que dichos datos personales van a ser tratados, por ejemplo, mediante el uso de determinadas tecnologías como la inteligencia artificial.
La EIPD debe llevarse a cabo antes de iniciar el tratamiento en cuestión, ya que se pretende medir el impacto de dicho tratamiento antes de que se produzca y, de ese modo, detectar y mitigar los posibles riesgos antes de que se materialicen.
Tratamientos que requieren de una EIPD
La AEPD, siguiendo los criterios del Comité Europeo de Protección de Datos, ha publicado una lista orientativa de tratamientos que requieren una EIPD, siendo éstos, entre otros, los siguientes:
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
- Tratamientos que impliquen el uso de categorías especiales de datos, datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
Qué debe incluir una Evaluación de Impacto de Protección de Datos
En la realización de una EIPD deben tenerse en cuenta algunos aspectos que deben estar incluidos a la hora de ejecutarla, siendo los aspectos esenciales los que se indican a continuación:
- Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
Los anteriores son los requisitos mínimos e imprescindibles que toda EIPD debe tener para considerarse realizada de forma correcta por la AEPD, de forma que se garanticen los derechos y libertades de los interesados.
Siempre es recomendable llevarla a cabo de la forma más completa posible para proceder a tratamientos de riesgo con todas las garantías necesarias.
Otros aspectos esenciales
Una vez realizad la EIPD, y en función de los tratamientos que se pretendan llevar a cabo (teniendo en cuenta los tipos de datos personales tratados o el contexto en el que se tratan), y aun determinando las medidas que se pretenden aplicar, cabe la posibilidad de que el riesgo para los derechos y libertades de los interesados siga siendo alto, por lo que se deberá proceder, en ese caso, a realizar una consulta previa a la autoridad de control.
Como señala la propia AEPD, “La consulta a la Autoridad de Control no tiene por objeto la obtención de un asesoramiento con relación a aspectos generales del cumplimiento de la normativa de protección de datos (Bases jurídicas, proporcionalidad, necesidad, minimización, información, derechos de los interesados, etc.) ni tampoco obtener la aprobación del tratamiento por parte de la Autoridad de Control”, sino que “tiene por objeto, orientar al responsable con relación a aquellos riesgos que no hubiera sido capaz de identificar o mitigar suficientemente”.
De cara a la realización de la consulta previa a la autoridad de control, deberá facilitarse, como mínimo, la siguiente información:
- En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
- Los fines y medios del tratamiento previsto.
- Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
- En su caso, los datos de contacto del delegado de protección de datos.
- La EIPD.
- Cualquier otra información que solicite la autoridad de control.
Es importante realizar la EIPD correctamente cuando sea necesario, ya que la realización de tratamientos de alto riesgo sin la ejecución de la misma puede suponer la imposición multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
En Letslaw by RSM tenemos un equipo de abogados especialistas en protección de datos en la realización de EIPD, y podemos asesorarte y ayudarte a realizar tratamientos de alto riesgo con las mayores garantías.
Aberto Malo ha desarrollado su carrera profesional en las áreas de Propiedad Intelectual, Protección de Datos y Nuevas Tecnologías. También presta asesoramiento jurídico, tanto a nivel nacional como internacional, en el ámbito del comercio electrónico, publicidad, esports, competencia desleal, contratación de software, consumidores y usuarios y litigación procesal.
Artículos Relacionados
Ejercicio de Derechos en Protección de Datos, adiós al DNI
La Protección de Datos aplica “tolerancia cero” ante difusión de vídeos íntimos
Cómo hacer que tu evaluación de impacto tenga éxito
La nueva Guía para la gestión de riesgos y evaluación de impacto de la AEPD
Nuevos criterios para la Evaluación de Impacto
Principales claves sobre las Evaluaciones de Impacto en la protección de datos