Nuevos criterios para la Evaluación de Impacto
Cada vez queda menos para la aplicación del nuevo Reglamento de Protección de Datos (UE) 2016/679, y todavía existen algunas dudas sobre su materialización. El último trabajo dispuesto a aclarar estas dudas lo ha elaborado el Grupo de Trabajo del art.29 (GT29). En concreto, a través de su última guía, ha abordado los posibles criterios respecto a la Evaluación de Impacto y su obligatoriedad.
La Evaluación de Impacto en la Protección de Datos (EIPD) es un proceso diseñado para ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas y con ello determinar las medidas para poder hacerles frente. Las EIPD ayudan a los responsables no sólo a cumplir con los requisitos del nuevo Reglamento General de Protección de Datos (RGPD), sino también a demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento del Reglamento. En otras palabras, una EIPD es un proceso para la construcción y la demostración del cumplimiento.
Sin embargo, una EIPD no siempre es obligatoria para todas las operaciones de tratamiento de datos, sino que sólo es necesaria cuando el tratamiento es “probable que resulte en un alto riesgo para los derechos y libertades de las personas físicas” según el art. 35.1 RGPD.
Con el fin de garantizar una interpretación al citado art. 35.1 RGDP, El GRUPO DE TRABAJO 29 ha presentado una serie de criterios con el objetivo de proporcionar apoyo para las listas que pudieran ser elaboradas por las autoridades de protección de datos. Pese a que el Consejo Europeo de Protección de Datos es el encargado de emitir directrices, con esta guía, el GT29 se ha anticipado.
En primer lugar, es importante recordar, que el responsable de tratamiento es quien debe asegurar que la EIPD se lleva a cabo (artículo 35 (2) y art 24 RGPD). Dicha tarea podrá ser realizada por otra persona dentro o fuera de la organización, pero el responsable en última instancia sigue siendo el responsable del tratamiento.
El objetivo de análisis de la EIPD es el análisis de situaciones con probable “riesgo”, que es un escenario que describe un evento y sus consecuencias. Para ello, “la gestión de riesgos” supone la actividad coordinadora para dirigir y controlar una organización frente al riesgo.
El art.35.3 del RGPD supone el punto de partida para que el GT29 elabore los criterios. Este artículo expone 3 criterios base que indican cuando hay obligatoriedad de realizar una EIPD.
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
En base a estos supuestos, el GT 29 ha establecido 9 criterios para completarlos y orientar a los responsables sobre la obligatoriedad de un EIPD:
- Cuando exista una evaluación de los datos, incluyendo perfiles sobre datos de trabajo, situación económica, salud, intereses, o ubicación. Un ejemplo de ello sería cuando las entidades de crédito disponen de una base de datos de referencia de sus clientes.
- Cuando se toman decisiones automatizadas con efectos legales sobre un tratamiento de datos a gran escala, en torno a las categorías de datos incluidos en el artículo 9 del Reglamento o los relativos a infracciones penales del artículo 10.
- Cuando exista un seguimiento sistemático utilizado para supervisar datos de los sujetos, incluyendo los datos recogidos en redes sociales. Estamos ante un método de vigilancia en un área de acceso público. Un ejemplo sería la recogida de datos en redes sociales para generar perfiles.
- Cuando existan datos personales que sean considerados sensibles (como los delitos penales) porque están vinculados a actividades privadas. Un mal uso de los mismos, implicaría claramente un serio impacto en la vida de la persona afectada.
- Cuando existen tratamientos de datos a gran escala, en base a: número de sujetos, volumen de los datos en el tratamiento, duración o permanencia del tratamiento o la extensión geográfica.
- Cuando existen datos procedentes de dos o más operaciones de tratamiento de datos realizadas para diferentes propósitos.
- Cuando hay tratamiento de datos relativos a intereses vulnerables. Estos datos suponen un desequilibrio entre el responsable y los titulares de los datos. Es decir, los casos en los que encontramos sujetos incapaces de consentir fácilmente u oponerse.
- Cuando se aplican nuevas tecnologías, como es el uso de la huella digital o reconocimiento facial. El uso de dicha tecnología puede implicar nuevas formas de recolección de datos, suponiendo un alto riesgo.
- Cuando el tratamiento de datos impide a los interesados el ejercicio de un derecho o uso de un servicio. Esto se da cuando un banco con el fin de ofrecer un préstamo, consulta una base de datos para comprobar perfiles.
No obstante, pueden darse los casos mencionados anteriormente y el responsable entender que no sea probable un alto riesgo. En este caso, el responsable deberá justificar y documentar las razones para no llevar a cabo una EIPD.
Por otro lado, el GT29 también ha concretado cuando no sería necesaria una EIPD:
- Cuando del tratamiento no resulte un alto riesgo para los derechos y libertades de las personas físicas. (art 35.1 RGPD)
- Cuando la naturaleza, alcance, contexto y fines del tratamiento sean muy similares a otro un tratamiento que la EIPD haya valorado.
- Cuando las operaciones de tratamiento hayan sido verificadas por una autoridad de control antes de mayo de 2018.
- Cuando exista una licitud del tratamiento en base a la legislación de un Estado miembro o UE. (art.6.1 c, e RGPD)
- Cuando la autoridad de control realice una lista de tratamientos que no requieran de EIPD (art 35.5 RGDP)
Una vez expuestos estos criterios, el responsable ya dispondría de una orientación inicial para saber cuándo sí tendría la obligación o no de elaborar una EIPD.
Por último, habría que tener en cuenta, que el momento adecuado para realizar la EIPD es antes del tratamiento. Ello consistiría en realizar una protección de los datos desde el diseño, dado que la EIPD es una herramienta que ayuda en la toma de decisiones sobre el tratamiento. Y es que la EIPD podría necesitar ser actualizada una vez haya comenzado el tratamiento, siendo un proceso continuo, especialmente cuando el tratamiento es dinámico y sujeto a cambios.
Letslaw es un despacho especializado en derecho digital y nuevas tecnologías.