La evaluación de impacto de protección de datos
La evaluación de impacto de protección de datos es una de las “nuevas” obligaciones del RGPD y a pesar que fue introducida ya hace más de 2 años y medio, aún sigue habiendo cierta confusión por lo que nos hemos decidido a escribir sobre esto en este primer post del año.
¿Qué es?
Esta evaluación es una medida adicional que deben llevar a cabo de forma obligatoria, ciertas empresas u organizaciones que lleven a cabo tratamientos de datos que se consideran de alto riesgo.
- No debe confundirse con el análisis de riesgos que es una obligación para cualquier empresa u organización que trate datos personales, sin excepción.
- Una de las fases del análisis de riesgos es precisamente determinar si alguno de los tratamientos analizados requieren de una evaluación de impacto de protección de datos y para conocer qué tratamientos están sujetos, tenemos dos fuentes principales.
- El art. 35 del RGPD que incluye tres tipos de tratamientos que requieren una evaluación de impacto de protección de datos:
“a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público”.
- El listado de tratamientos que requieren esta evaluación, publicado por la Agencia Española de Protección de Datos (AEPD).
En cualquiera de los dos supuestos, estamos hablando de tratamientos que objetivamente pueden implicar un riesgo elevado para las personas que son objeto del mismo.
- Para decidir si un tratamiento requiere o no de la evaluación de impacto también podemos consultar el listado de tratamientos que NO la requieren, publicado también por la AEPD.
- La Evaluación de Impacto de Protección de Datos debe realizarse antes que se inicie el tratamiento, lo que tiene toda la lógica pues si de la Evaluación se concluye que el tratamiento es intrusivo para las personas y dicho tratamiento ya se está realizando, poco sentido tiene.
¿Qué incluye una evaluación de impacto de protección de datos?
El propio RGPD detalla el contenido mínimo de la evaluación, que al menos deberá incluir:
- Una definición de los tratamientos realizados y sus fines.
- Una justificación que el tratamiento es necesario para conseguir tales fines.
- Detalle de los riesgos para los afectados o titulares de los datos.
- Medidas para mitigar o eliminar dichos riesgos.
Sólo podrán llevarse a cabo los tratamientos que hayan superado la evaluación de impacto de protección de datos, en otras palabras cuando las medidas para mitigar o eliminar dichos riesgos, hayan sido implementadas.
¿Quién debe realizar una evaluación de impacto de protección de datos?
Los obligados a realizar esta evaluación de impacto son los responsables del tratamiento que efectúen los tratamientos comentados. Si lo tuviera, también debe participar en ella el delegado de Protección de Datos, siendo consultado. En el caso que quien tenga acceso a datos fuera considerado como encargado del tratamiento, no tiene la obligación de realizar la evaluación de impacto pero si de participar en ella si debe realizarla algún responsable del tratamiento por cuenta de quien trate los datos.
¿Cómo actúa la AEPD?
Por el momento la AEPD se ha limitado a hacer una labor pedagógica en relación a dicha Evaluación de Impacto, con la publicación de una Guía a tal efecto y de una herramienta online para que los responsables puedan decidir si deben o no hacerla.
En la actualidad no constan sanciones por la falta de realización de la evaluación de impacto en España, aunque en algunos países de la UE, como Noruega o Finlandia sí que las ha habido. Veremos si este será el siguiente paso de la AEPD…
Si tienes cualquier duda sobre esto o cualquier aspecto legal, contáctanos aquí.
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.