Evaluación de impacto relativa a la protección de datos (EIPD) en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

Necesidad de realizar una evaluación de impacto del tratamiento de datos personales (EIPD)

Considerando (84) del RGPD:

«A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».

Como fija el artículo 28 de la LOPDGDD, los responsables y encargados del tratamiento deben valorar si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa, y de manera concreta, el artículo 35, apartado 1, del RGPD dispone:

«Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares».

Tras esto, se estará preparado para la confección del registro de actividades de tratamiento, en el cual habremos de relacionar las finalidades, el conjunto de datos, los interesados y los demás componentes, para agruparlos por tratamientos concretos. Esta es una labor fundamental para un análisis adecuado sobre si se debe proceder a realizar una EIPD, pues si el registro de actividades de tratamiento no se confecciona una vez se ejecutan todos los pasos previos, se concluirá con un programa de cumplimiento claramente deficitario y que, en definitiva, dificultará en grado sumo todo el procedimiento de adaptación.

Por tanto, es posible definir la EIPD como una herramienta ciertamente preventiva, destinada a la identificación, evaluación y gestión constante de los riesgos a los que se exponen las actividades de tratamiento de una entidad. Por su propia naturaleza, la EIPD se debe realizar con anterioridad a la puesta en marcha de las actividades de la entidad, al menos aquellas que se refieran al tratamiento de datos de carácter personal del interesado.

Análisis de la naturaleza, el alcance, el contexto y los fines del tratamiento

Identificados todos los tratamientos que pretende llevar a cabo la entidad, procede poner en práctica el análisis sobre la necesidad de llevar a cabo la EIPD. Para ello, se debe analizar si alguno de los tratamientos se enmarca en los supuestos en los que es obligatorio realizar una EIPD y, por el otro, si excluido de los anteriores supuestos, es igualmente aconsejable llevar a cabo esta metodología.

a) Supuestos de obligada realización

Atendiendo a lo dispuesto en el artículo 35 del RGPD, será obligatorio realizar una EIPD cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

El RGPD hace la apreciación «en particular», determinando así que no nos encontramos ante una lista exhaustiva. Alto riesgo o gran escala son otros dos conceptos concluyentes en la valoración de riesgos para la EIPD en el tratamiento de datos. 

 El Grupo Protección de Datos del artículo 29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 hizo las siguientes apreciaciones al respecto: 

- Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 del RGPD (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10 del RGPD.
- Asociación o combinación de conjuntos de datos, como pueden ser los procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos, de una manera que exceda las expectativas razonables del interesado.
- Datos relativos a interesados vulnerables: el tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.
- Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. El considerando (91) del RGPD deja claro que el uso de una nueva tecnología se atenderá «en función del nivel de conocimientos técnicos alcanzado».

Acudiendo al artículo 35, apartado 3, del RGPD, será obligatorio realizar una EIPD, en estos supuestos:

1. Se produzca una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. De modo que, en el caso de que alguno de los tratamientos que se pretendan realizar esté relacionado con la elaboración de perfiles desde un punto de vista automatizado, sin mayor dilación se procederá a la realización de una EIPD.

Repárese en la idea de que la realización del tratamiento automatizado anterior no tiene que ver directamente con las categorías de datos de carácter personal que son tratados, sino en la forma en la que se realiza la operación de tratamiento, exclusivamente.

El Grupo Protección de Datos del artículo 29 aportó estas definiciones:

- Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado».
- Toma de decisiones automatizadas con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar».

2. Exista un tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales (en relación con los artículos 9.1 y 10 del RGPD). La única dificultad que presenta este condicionante, a la hora de incardinar si se debe realizar o no una EIPD, es determinar el concepto de «gran escala», pues no encontraremos un ejemplo concreto en toda la normativa que nos dé una respuesta concluyente. Sin perjuicio de ello, realizando una interpretación sistemática del uso del término gran escala a lo largo del RGPD y de la LOPDGDD, podemos acordar que estaremos ante un tratamiento a gran escala cuando se persigue tratar una cantidad considerable de datos de carácter personal en cualesquiera de los niveles geográficos existentes (regional, nacional o internacional), que afecten a un gran número de interesados y, asimismo, que impliquen un alto riesgo relacionado con los dos condicionantes anteriores.

Un ejemplo de este caso concreto serían los centros médicos o despachos de abogados que manejen este tipo de datos. La clave para enmarcarlos en este concionante es que, ya se trate de una clínica o un despacho (o cualquier otra entidad que reúna estos requisitos), se configuren en torno a grandes corporaciones, con un volumen de clientes relevante e, incluso, con diferentes sedes o delegaciones a lo largo del territorio nacional.

3. Se proceda a la observación sistemática a gran escala de una zona de acceso público. Guarda cierta relación con el condicionante anterior por la forma en la que se produce el tratamiento susceptible de ser enmarcado en este: a gran escala. La especialidad en este caso tiene que ver con la observancia de una zona de acceso público. Esto es, la instalación de un sistema de videovigilancia cuya zona de visualización conlleve aspectos públicos. En este sentido, tal como hemos desarrollado anteriormente, respecto a las matizaciones y valoraciones de un sistema de videovigilancia, se ha concluido que no es posible la colocación de este tipo de sistemas en zonas públicas, salvo en aquellos casos en los que resulte absolutamente necesario para la salvaguarda de bienes, derechos o la propia instalación o, en su caso, porque se trate de instalaciones o infraestructuras estratégicas o relacionadas con el transporte público.

Acudiendo a las Directrices sobre la EIPD del Grupo de Protección de Datos del artículo 29, en ellas se concreta:

- Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática (...) de una zona de acceso público».

- Tratamiento de datos a gran escala. Se han de tener en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:

- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.

- El volumen de datos o la variedad de elementos de datos distintos que se procesan.

- La duración, o permanencia, de la actividad de tratamiento de datos.

- El alcance geográfico de la actividad de tratamiento.

Como también aprecia este Grupo de Trabajo, el considerando (91) del RGPD hace una pequeña referencia a lo que debe entenderse como concepto de gran escala. Lo hace limitando lo que no debe considerarse gran escala, como es el caso de un médico u otro profesional de salud respecto a datos personales de sus pacientes. Así, en esos supuestos no sería obligatoria la EIPD.

De lo anterior, podemos definir como entidades ejemplificativas en este tipo de casos, las empresas de transporte de viajeros que empleen este tipo de sistemas u organismos públicos. No obstante, el concepto de acceso público no resultará equiparable a zona pública, en la medida en que es posible que una empresa tenga tal afluencia de clientes que pueda ser considerada una zona de acceso público.

4. Si se lleva a cabo un tratamiento con fines de investigación en salud pública o biomédica. Desarrolla la D.A. 17.ª de la LOPDGDD que para estos supuestos ha de realizarse una EIPD que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 del RGPD o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.

CUESTIÓN

¿En qué tipo de establecimientos podemos afirmar que es necesario realizar una EIPD atendiendo al condicionante de los sistemas de videovigilancia?

Tal como dispone el propio artículo 35, apartado 2, letra b), del RGPD, aquellos establecimientos que realicen una visualización de imágenes de modo sistemático y en un volumen considerable deberán realizar una EIPD. En este sentido, ejemplos al respecto serían los centros comerciales, las entidades bancarias, los edificios sindicales, los organismos públicos, los casinos o salas de juego y todas aquellas entidades abiertas al público general que dispongan de un sistema de videovigilancia con numerosas cámaras interconectadas y cuya visualización en tiempo real requiera diferentes monitores simultáneos.

Continuando con la conclusión del Grupo de Protección de Datos del artículo 29, este considera que cuantos más criterios cumpla el tratamiento, más probable será que represente un alto riesgo para los derechos y libertades de los interesados y, por tanto, requiera una EIPD independientemente de las medidas que el responsable contemple adoptar. Sin embargo, en algunos casos, un responsable del tratamiento puede considerar que un tratamiento que cumpla solo uno de estos criterios requiere una EIPD.

En cambio, aunque una operación de tratamiento se corresponda con los casos anteriormente mencionados, puede que un responsable no considere que dicho tratamiento «entraña probablemente un alto riesgo». En estos casos, el responsable debe justificar y documentar los motivos por los que no se realiza una EIPD e incluir o registrar las opiniones del delegado de protección de datos.

A TENER EN CUENTA. El incumplimiento de la realización de una EIPD en los tratamientos de datos personales en que sea exigible será considerado como infracción grave como así lo tipifica el artículo 73, letra t) de la LOPDGDD

b) Supuestos de recomendable realización

De acuerdo con el artículo 35, apartado 1, del RGPD, los condicionantes que se deben analizar a la hora de averiguar si el tratamiento o conjunto de tratamientos revisten la relevancia necesaria son la naturaleza, el alcance, el contexto y las finalidades del tratamiento. En base a este precepto y siguiendo las directrices establecidas por la AEPD en su Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD, procede realizar las siguientes consideraciones sobre los factores a analizar:

  • Sobre la naturaleza del tratamiento, es necesario valorar ciertas características básicas para comprobar si su concurrencia pudiera disparar el riesgo del tratamiento analizado. Así, habría que preguntarse si se tratarán categorías especiales de datos, si se van a tratar datos a gran escala, si se realiza un seguimiento exhaustivo de las personas o si los datos se refieren a personas en situación de vulnerabilidad (menores de 14 años o discapacitados, principalmente).
  • En relación con el alcance del tratamiento, simplemente se debe valorar cuáles son los efectos que tendría llevar a cabo el mismo a través de diferentes cuestiones, como preguntarse si se realiza un proceso de toma de decisiones con efectos jurídicos, si se realiza una valoración del riesgo crediticio o si se valora la exclusión de beneficios sociales o fiscales.
  • Por lo que respecta al contexto del tratamiento o tratamientos a analizar, se deben valorar las circunstancias en las que se realizarán los tratamientos concretos. En este caso, la principal razón para preocuparse por el alto riesgo que podría conllevar reside en el uso de nuevas tecnologías, por los potenciales peligros invasivos sobre la privacidad que pudieran proyectar. De todos modos, no es el único condicionante, la AEPD plantea otras cuestiones como la pluralidad de responsables de tratamiento, cadenas complejas de encargados de tratamiento, así como cesiones o transferencias internacionales de datos.
  • Por último, al analizar la finalidad o finalidades del tratamiento, se debe verificar, primeramente, si existe una pluralidad de ellas en un mismo tratamiento al objeto de valorar su compatibilidad y, en segundo término, será necesario plantearse ciertas cuestiones como, por ejemplo, si se producirán elaboraciones de perfiles, análisis predictivos de estos datos, monitorizaciones o prestaciones de servicios relacionados con la salud.
Responsables del tratamiento y listas de operaciones de tratamiento

Continuando con lo establecido en el artículo 35 del RGPD, también es necesario saber sobre la EIPD:

  • El responsable del tratamiento debe recabar, al realizar la EIPD, asesoramiento del DPD cuando hubiese sido nombrado —entre las funciones del DPD está la de ofrecer asesoramiento al responsable en la evaluación de impacto, como especifica el artículo 39, apartado 1, letra c), del RGPD—. Para el cumplimiento de este mandato también será auxiliado por el encargado del tratamiento cuando así proceda, como estipula el artículo 28, apartado 3, letra f), del RGPD —el tratamiento por el encargado debe regirse por un contrato u acto jurídico que conforme al derecho de la UE o de los EEMM vincule al encargado respecto al responsable y concrete, entre otras, este deber de ayuda—.
  • Como recogen los apartados 4 y 5 del artículo 35 y el apartado 1, letra k), del artículo 57 del RGPD, la autoridad de control debe establecer y publicar una lista de los tipos de operaciones de tratamiento que requieran de EIPD, así como una lista de las que no requieran de esa evaluación de impacto. Debe aplicarse, con carácter previo a la adopción de las listas, el mecanismo de coherencia para el caso de que las listas incluyeran actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros o cuando se trate de actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión. 

Ambas listas deben comunicarse al Comité que emitirá dictamen como indica el artículo 64, apartado 1, letra a) del RGPD.

No hay versiones para este comentario

Evaluación de impacto en protección de datos
Actividades de tratamiento de datos
Tratamiento de datos personales
Persona física
Responsable del tratamiento
Datos personales
Protección de datos
Autoridad de control de datos
Registro de las actividades de tratamiento
Elaboración de perfiles
Categorías especiales de datos
Datos personales relativos a condenas e infracciones penales
Encargado del tratamiento
Datos sensibles
Organismos públicos
Categorías de datos personales
Anonimización de datos
Transporte público
Delegado de protección
Transporte de viajeros
Empresa de transporte
Menor de catorce años
Mandato
Acto jurídico
Análisis de riesgo
Mecanismo de coherencia
Prestación de servicios
Discapacitados
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados