Cuando y cómo debo hacer una Evaluación de Impacto (EIPD)

¿Cuándo?

El RGPD introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD) y obliga a las Autoridades de Control (en España, la Agencia Española de Protección de Datos -AEPD-), a establecer listas orientativas de tratamientos que no requieren EIPD, así como de tratamientos que sí requieren su realización.

Con carácter general, existe la obligación de llevar a cabo la realización de una EIPD siempre que el tratamiento implique un alto riesgo para los derechos y libertades de las personas físicas. Tal y como recoge el art. 35 del RGPD, la evaluación de impacto se requerirá en el caso de:

1. Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
2. Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
3. Observación sistemática a gran escala de una zona de acceso público.

Además, también ha de realizarse en los siguientes supuestos (listado que, tal y como indica la AEPD, es orientativo y no exhaustivo):

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus há
2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona fí
6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7. Tratamientos que impliquen el uso de datos a gran escala.
8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

¿Cómo?

Una vez el responsable de los datos identifica que el tratamiento de los mismos implica un alto riesgo para los derechos y libertades de las personas físicas, y como fase previa a la realización de la EIPD, se hace necesario realizar un estudio sobre el alcance de ésta.

Para ello, se evalúan los siguientes aspectos:

• Datos personales que se van a tratar.
• De donde provienen los datos.
• Operaciones de tratamiento a
• Mecanismo de recogida de datos.
• Sistema de almacenamiento y tratamiento.
• Uso principal que se le va a dar al
• Destrucción del
• Personas o grupos de personas

Si se concluye que procede realizar la evaluación de impacto el proceso de evaluación se divide en tres grandes bloques:

1) Identificación del contexto en el que se tratan los datos:

Se estudia el ciclo de vida de los datos objeto de tratamiento: origen éstos, clasificación y almacenamiento, uso y tratamiento, accesos por parte de terceros y procesos de destrucción.

Posteriormente se analiza la necesidad y proporcionalidad del tratamiento: identificar finalidades y medios deltratamiento, identificar los datos objeto de tratamiento y evaluar su necesidad para la finalidad con la que se pretenden recoger, evaluando así la base legitimadora del tratamiento, conforme al artículo 6 del RGPD.

2) Gestión de los riesgos:

En este bloque se identifican las amenazas y riesgos: identificación de potenciales escenarios de riesgo que afecten negativamente a los derechos y libertades de los afectados:

1. a) Evaluación y valoración de riesgos detectados: estimar la probabilidad y el impacto de que los riesgos detectados se
2. b) Tratamiento de los riesgos: definir las medidas necesarias para tratar los riesgos detectados y reducir el nivel de exposició

3) Conclusiones:

Elaboración de un informe final de conclusiones basado en el nivel de riesgo residual, valorando si se considera elevado o aceptable y, por tanto, si la EIPD es favorable o no.

Visto el procedimiento por para llevar a cabo una EIPD de manera correcta, podemos concluir que la gestión del alto riesgo y la Evaluación de Impacto para la Protección de Datos son procesos íntimamente vinculados puesto que la gestión del riesgo incluyendo las garantías de una EIPD ha de realizarse:

“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.