Evaluación de impacto relativa a la protección de datos (EIPD) en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Fecha última revisión: 18/06/2018

A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

El considerando 84 señala que en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el Reglamento. No obstante, en el supuesto de que una evaluación de impacto mostrase que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

Asi , la AEPD ha definido la “ Evaluación de impacto “ (en adelante EIPD) como una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas

Esta obligación supone un reflejo del principio de responsabilidad proactiva que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad. En consecuencia el resultado de la evaluación deberá ser tendida en cuento para , por un lado de tomar las decisiones relacionadas con el cumplimiento de lo previsto en el RGPD y por otra considerar la viabilidad o no de llevar a cabo el tratamiento de los datos.

Sin perjuicio de que - como hemos señalado- la evaluación de impacto deberá de realizar cuando se detecte el tratamiento de datos puede implicar un riesgo elevado para los derechos y libertades de las personas físicas, el Reglamento establece supuestos en los cuales es obligatorio realizar la Evaluación sin necesidad de Realizar un análisis de riesgos. Por tanto, resulta necesario, en primer lugar determinar los supuestos en los que resulta necesario llevar a cabo una EIPD.

El artículo 35.3, determina tres casos en los que resulta obligatorio hacer la EIPD.

Por otra parte, el Reglamento en los artículos 35.4 y 35.5 prevé la existencia de listas elaboradas por las autoridades de control que determinen en qué casos es obligatoria la realización de una EIPD, así como, en que supuestos no resulta exigible.

En todo caso, la necesidad de realizar una EIPD no se circunscribe exclusivamente a los supuestos mencionados, si no que en los casos en que el tratamiento pueda presentar riesgos elevados resultará necesario realizar una EIPD. Incluso, en aquellos casos en los que exista duda acerca de la pertinencia o no de llevar a cabo una EIPD, resulta recomendable la realización de la misma. En este sentido, resultará imprescindible elaborar un informe donde se describan los criterios seguidos y los argumentos en los que se basa la conclusión para determinar si es necesario, o no, realizar la evaluación de impacto .

La obligación de realizar una EIPD corresponderá al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el delegado de protección de datos.

Veamos ahora, cómo se determina la necesidad de realizar una evaluación de impacto.

- En primer lugar, con carácter general, cuando resulte probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

En este contexto, como criterio general, la introducción en el proceso de tratamiento de datos personales de tecnologías emergentes, o de nuevos usos de las tecnologías, es particularmente relevante al tomar la decisión de llevar a cabo la EIPD.

Resulta necesario, por otra parte, tener presente que la evaluación no es obligatoria para todos los tratamientos, sino sólo para los que comportan un riesgo elevado o especialmente relevante, que se traduce en la expresión "alto riesgo".

- Asimismo, y conforme se determina en el apartado 3º del artículo 35 , la evaluación de impacto relativa a la protección de los datos ase requerirá en particular en caso de:

  • a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10,
  • o c) observación sistemática a gran escala de una zona de acceso público.

En relación con lo dispuesto en este apartado, debemos destacar que la expresión "en particular", determina que no estamos ante una lista exhaustiva. Por tanto, existirán otros tipos de tratamientos que sin encajar en estos supuestos también puedan presentar riesgos igualmente elevados y, en consecuencia, habría que hacer la EIPD.

Como vemos, la necesidad de realizar la evaluación de impacto está muy vinculada a dos conceptos “el alto riesgo”, al cual ya hemos hecho referencia, y el de "tratamiento a gran escala". Pues bien considerando que estos no se encuentran delimitados en el texto del Reglamento, resulta necesario acudir a los criterios establecidos por el Grupo de Trabajo del Articulo 29:

Con respecto al “ alto riesgo”, el Grupo de Trabajo ha señalado hasta nueve criterios que pueden evidenciar la existencia de un elevado riesgo inherente a las operaciones de tratamiento

En relación con el “tratamiento a gran escala” el documento 2438 publicado por el citado grupo, resulta útil a los efectos de concretar el concepto.

- Un tercer supuesto en el que resultará obligatorio realizar la EIPD, es el establecido en el apartado 4º del articulo 35 . En este precepto, se produce una remisión a la concreción que cada autoridad de control pueda realizar de los tratamientos en los que resultará necesario llevar a cabo la EIPD

Si el tratamiento aparece en la lista de tratamientos que requieren la EIPD, se deberá documentar la casuística concreta en el informe de análisis de la necesidad de realizar la EIPD y proceder a iniciar la misma.

Por último, el articulo 35 citado, también contempla la posibilidad de que la autoridad de control pueda establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

No hay versiones para este comentario

Evaluación de impacto en protección de datos
Actividades de tratamiento de datos
Persona física
Tratamiento de datos personales
Responsable del tratamiento
Autoridad de control de datos
Datos personales
Principio de responsabilidad
Análisis de riesgo
Delegado de protección
Encargado del tratamiento
Obligación de hacer
Protección de datos
Categorías especiales de datos
Elaboración de perfiles
Datos personales relativos a condenas e infracciones penales
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Registro de actividades de tratamiento datos en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Una de las novedades que presenta el nuevo RGPD es la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación d...

  • Valoración de impacto relativa a la protección de datos según el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Según el apdo. 7, art. 35, RGPD, la evaluación de impacto relativa a la protección de datos deberá incluir como mínimo:a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Deber de consulta previa en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del Art. 35 RGPD, muestre que el tratamiento entrañaría un alto riesgo si el ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados