Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.

¿Qué es una Evaluación de Impacto?

Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.

La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un
análisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).

A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.

¿Cuándo es obligatorio realizar una Evaluación de Impacto?

El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.

Con carácter general, será necesario realizar una Evaluación de Impacto cuando la empresa realice operaciones de tratamiento de datos personales a gran escala (Big Data) en las que se utilice una gran cantidad datos personales, de modo que exista un número significativo de interesados que puedan verse afectados y exista un alto riesgo.

En particular, el REPD indica una serie de casos en que será necesario realizar una Evaluación de Impacto:

  • Cuando se realice un tratamiento que implique la “evaluación sistemática y exhaustiva de aspectos personales” con base tecnológica, como puede ser la elaboración de perfiles para tomar decisiones que afecten jurídicamente al interesado. Por ejemplo, la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no media intervención humana alguna.
  • Cuando se realice un tratamiento a gran escala de datos sensibles (raza, ideología o creencias, datos genéticos, biométricos identificativos, de salud, orientación sexual…) o de datos relativos a condenas e infracciones penales.
  • Cuando se realice una observación sistemática a gran escala de una zona de acceso público, como por ejemplo la realizada a través de dispositivos electrónicos de vigilancia.

En todo caso, conforme al Reglamento, la Agencia Española de Protección de Datos (AEPD) deberá publicará una lista de los tipos de operaciones de tratamiento concretas que requieran una evaluación de impacto, donde quedarán reflejados los casos concretos en los que las empresas están obligadas a realizar la Evaluación de Impacto.

¿Cómo realizar una Evaluación de Impacto?

El Responsable del fichero, es decir, la empresa titular del proyecto que vaya a ser evaluado, será quien elabore la Evaluación de Impacto, debiendo desarrollarla antes de realizar el tratamiento de datos personales.

Para ello, podrá contar con el asesoramiento de un Delegado de Protección de Datos, la nueva figura que prevé el REPD para el control y supervisión del cumplimiento de la normativa de protección de datos, en determinados casos, de la que hablamos en nuestro post: Primeras implicaciones prácticas del Reglamento General de Protección de Datos.

Conforme al REPD, una Evaluación de Impacto deberá contener, como mínimo, lo siguiente:

  • Una descripción detallada de las operaciones de datos previstas, las distintas finalidades del tratamiento y, en su caso, del interés legítimo perseguido por el responsable.
  • Un análisis de la necesidad y la proporcionalidad de operaciones de tratamiento en relación a su finalidad.
  • Una evaluación de los riesgos para los interesados.
  • Medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos y demuestren el cumplimiento del Reglamento.

Una vez que el proyecto ha finalizado, serán necesarias revisiones periódicas para verificar si los riesgos previstos han desaparecido o se han mitigado de la forma esperada.

En caso de que la Evaluación de Impacto confirme que el tratamiento de datos realizado por la empresa entraña un alto riesgo, y ésta no pudiera adoptar las medidas adecuadas para mitigarlo (por no disponer de la tecnología necesaria o no poder asumir los costes de su aplicación), se deberá realizar una consulta a la AEPD de forma previa al tratamiento de los datos.

Otras recomendaciones.

La AEPD considera que la realización de evaluaciones de impacto no solo es deseable cuando existe una obligación legal, sino que es una práctica que, debido posibilita la identificación y corrección anticipada de los posibles riesgos, permitirá a las empresas ahorrar importantes costes económicos, así como evitar las posibles consecuencias negativas para la imagen y la reputación empresarial derivadas de una incorrecta gestión de los riesgos.

 

Letslaw es un despacho de abogados especializado en protección de datos y derecho digital.