Evaluación de impacto relativa a la protección de datos (EIPD) en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el ámbito, el contexto y los fines del tratamiento de datos, asñi como los orígenes del mismo. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

El considerando 84 del RGPD señala que "en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo". El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el Reglamento. No obstante, en el supuesto de que una evaluación de impacto mostrase que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

Asi, la AEPD ha definido la "Evaluación de impacto" (en adelante EIPD) como una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas

Esta obligación supone un reflejo del principio de responsabilidad proactiva que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad. En consecuencia el resultado de la evaluación deberá ser tenida en cuenta para, por un lado de tomar las decisiones relacionadas con el cumplimiento de lo previsto en el RGPD y por otra considerar la viabilidad o no de llevar a cabo el tratamiento de los datos.

La obligación de realizar una EIPD corresponderá al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el asesoramiento del delegado de protección de datos, y deberá llevarse a cabo "antes del tratamiento"

Sin perjuicio de que - como hemos señalado- la evaluación de impacto deberá de realizar cuando se detecte el tratamiento de datos puede implicar un riesgo elevado para los derechos y libertades de las personas físicas, el Reglamento establece supuestos en los cuales es obligatorio realizar la Evaluación sin necesidad de Realizar un análisis de riesgos. Por tanto, resulta necesario, en primer lugar determinar los supuestos en los que resulta necesario llevar a cabo una EIPD.

 

Veamos ahora, ¿cómo se determina la necesidad de realizar una evaluación de impacto?:

1.- En primer lugar, con carácter general, cuando resulte probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas. En este contexto, como criterio general, la introducción en el proceso de tratamiento de datos personales de tecnologías emergentes, o de nuevos usos de las tecnologías, es particularmente relevante al tomar la decisión de llevar a cabo la EIPD. Resulta necesario, por otra parte, tener presente que la evaluación no es obligatoria para todos los tratamientos, sino sólo para los que comportan un riesgo elevado o especialmente relevante, que se traduce en la expresión "alto riesgo".

2.- Asimismo, y conforme se determina en el apartado 3º del artículo 35 resulta obligatorio hacer la EIPD, en concreto en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

En relación con lo dispuesto en este apartado, debemos destacar que la expresión "en particular", determina que no estamos ante una lista exhaustiva. Por tanto, existirán otros tipos de tratamientos que sin encajar en estos supuestos también puedan presentar riesgos igualmente elevados y, en consecuencia, habría que hacer la EIPD. Como vemos, la necesidad de realizar la evaluación de impacto está muy vinculada a dos conceptos “el alto riesgo”, al cual ya hemos hecho referencia, y el de "tratamiento a gran escala".

Pues bien considerando que estos no se encuentran delimitados en el texto del Reglamento, resulta necesario acudir a los criterios establecidos por el Grupo de Trabajo del Articulo 29 -> con respecto al “Alto Riesgo”, el Grupo de Trabajo ha señalado hasta nueve criterios que pueden evidenciar la existencia de un elevado riesgo inherente a las operaciones de tratamiento:

  1. Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado»
  2. Toma de decisiones automatizada con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar»
  3. Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática [...] de una zona de acceso público»
  4. Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10.
  5. Tratamiento de datos a gran escala: el RGPD no define qué se entiende por gran escala, aunque el considerando 91 ofrece alguna orientación. En cualquier caso, el GT29 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
        a. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
        b. el volumen de datos o la variedad de elementos de datos distintos que se procesan;
        c. la duración, o permanencia, de la actividad de tratamiento de datos;
        d. el alcance geográfico de la actividad de tratamiento.
     
  6. Asociación o combinación de conjuntos de datos , por ejemplo procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado
  7. Datos relativos a interesados vulnerables (considerando 75): El tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.
  8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. El RGPD deja claro (artículo 35, apartado 1, y considerandos 89 y 91) que el uso de una nueva tecnología, definida «en función del nivel de conocimientos técnicos alcanzado» (considerando 91), puede hacer necesario realizar una EIPD.
  9. Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato» (artículo 22 y considerando 91).
En la mayoría de los casos, un responsable del tratamiento puede considerar que un tratamiento que cumpla dos criterios requerirá la realización de una EIPD. En general, el GT29 considera que cuantos más criterios cumpla el tratamiento, más probable será que represente un alto riesgo para los derechos y libertades de los interesados y, por tanto, requiera una EIPD independientemente de las medidas que el responsable contemple adoptar. Sin embargo, en algunos casos, un responsable del tratamiento puede considerar que un tratamiento que cumpla solo uno de estos criterios requiere una EIPD.
En cambio, aunque una operación de tratamiento se corresponda con los casos anteriormente mencionados, puede que un responsable no considere que dicho tratamiento «entraña probablemente un alto riesgo». En estos casos, el responsable debe justificar y documentar los motivos por los que no se realiza una EIPD e incluir/registrar las opiniones del delegado de protección de datos.

En relación con el “tratamiento a gran escala” el documento 2438 publicado por el citado grupo, resulta útil a los efectos de concretar el concepto.

3.- Un tercer supuesto en el que resultará obligatorio realizar la EIPD, es el establecido en el apartado 4º del articulo 35. En este precepto, se produce una remisión a la concreción que cada autoridad de control pueda realizar de los tratamientos en los que resultará necesario llevar a cabo la EIPD. Si el tratamiento aparece en la lista de tratamientos que requieren la EIPD, se deberá documentar la casuística concreta en el informe de análisis de la necesidad de realizar la EIPD y proceder a iniciar la misma. Por último, el articulo 35 citado, también contempla la posibilidad de que la autoridad de control pueda establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

 

La LOPDGDD por su parte, se limita a indicar que serán los responsables y encargados los que valorarán la realización de la EIPD y la consulta previa a la AEPD, y tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos (artículo 28):

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Con respecto a las infracciones, en caso de tratamiento de datos personales sin haber llevado a cabo la EIPD en los supuestos en que sea exigible, supondrá una infracción considerada grave.

Igualmente, se estable que en el caso de que lleven a cabo tratamiento con fines de investigación en salúd pública y en particular, biomédica, se deberá realizar una EIPD que determine los riesgos y que incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos. (D.A. 17ª. 2. f. 1º )

 

En todo caso, la necesidad de realizar una EIPD no se circunscribe exclusivamente a los supuestos mencionados, si no que, en los casos en que el tratamiento pueda presentar riesgos elevados, resultará necesario realizar una EIPD. Incluso, en aquellos casos en los que exista duda acerca de la pertinencia o no de llevar a cabo una EIPD, resulta recomendable la realización de la misma. En este sentido, resultará imprescindible elaborar un informe donde se describan los criterios seguidos y los argumentos en los que se basa la conclusión para determinar si es necesario, o no, realizar dicha evaluación de impacto.

Según el GT29, "Por razón de buenas prácticas, una EIPD debe ser continuamente revisada y reevaluada con regularidad. Por tanto, incluso si el 25 de mayo de 2018 no se requiere una EIPD, será necesario, en el momento oportuno, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva".

 

No hay versiones para este comentario

Evaluación de impacto en protección de datos
Tratamiento de datos personales
Actividades de tratamiento de datos
Responsable del tratamiento
Persona física
Datos personales
Autoridad de control de datos
Categorías especiales de datos
Protección de datos
Delegado de protección
Datos personales relativos a condenas e infracciones penales
Elaboración de perfiles
Encargado del tratamiento
Obligación de hacer
Principio de responsabilidad
Análisis de riesgo
Datos sensibles
Anonimización de datos
Perjuicios económicos
Datos confidenciales
Perjuicio económico
Secreto profesional
Infracciones administrativas
Reversión
Menor de edad
Código de conducta
Suplantación de identidad
Fraude
Daños y perjuicios
Buenas prácticas
Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Contenido y metodología de la Evaluación de impacto según el RGPD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...

  • Supuestos de obligación de nombramiento del Delegado de Protección de Datos (DPD)

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.El artículo 37 apartado 1...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados