Evaluación de impacto en la protección de datos

Como ya te contamos en Evaluación de impacto en la protección de datos entre las novedades introducidas por el Reglamento General de Protección de Datos (RGPD) se encuentra la realización del proceso de Evaluación de Impacto en la Protección de Datos (EIPD).

¿Qué es la Evaluación de Impacto en la Protección de Datos?

Una Evaluación de Impacto (EIPD) es una herramienta destinada a conocer, ponderar y evaluar los riesgos que puedan existir en el tratamiento de datos personales por parte de un responsable del tratamiento. Las EIPD se llevan a cabo de manera preventiva, siendo su principal objetivo adoptar las medidas adecuadas que permitan mitigar o eliminar los riesgos detectados.

Las Evaluaciones de Impacto deben realizarse con carácter previo al inicio de la actividad del tratamiento de datos cuando, debido a su volumen, características o tipología, se considere que existe un alto riesgo para los derechos y libertades de los interesados.

Llevar a cabo una Evaluación de Impacto permite a los responsables del tratamiento asegurar el cumplimiento de los requisitos de la normativa de protección de datos y adoptar las medidas necesarias que garanticen el nivel adecuado de protección de los datos.

¿Qué debe incluir una evaluación de impacto en la protección de datos personales?

El RGPD en su artículo 35.7 enumera el listado de requisitos mínimos que deberá incluir una Evaluación de Impacto, siendo estos:

1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.

3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,

4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.”

Por su parte, el artículo 36.1 RGPD añade que, cuando el resultado de la EIPD determine la existencia de un alto riesgo para los derechos y libertades de los interesados en caso de que el responsable no tome las medidas adecuadas, el responsable consultará a la autoridad de control antes de proceder al tratamiento.

La AEPD ha publicado en junio de 2021 un docuemnto de Gestión del riesgo y Evaluación de Impacto para los casos de tratamientos de alto riesgo, en la que incorpora las orientaciones necesarias para realizar la Evaluación de Impacto para la Protección de Datos (EIPD) y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD.

Empresas obligadas a realizar una Evaluación de Impacto en la Protección de Datos

Como hemos adelantado, será obligatorio llevar a cabo una Evaluación de Impacto cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

Se entiende que existe un alto riesgo para los derechos y libertades de las personas, según el artículo 35.3 RGPD, y por lo tanto es obligatorio llevar a cabo una Evaluación de Impacto cuando exista:

· Una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

· Un tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.

· Una observación sistemática a gran escala de una zona de acceso público.

Para ayudar a delimitar estos puntos la AEPD ha publicado las Listas de tipos de tratamientos de datos que requieren Evaluación de Impacto , estas listas son orientativas y no restrictivas.

En Type of Legal somos abogados altamente especializados en el asesoramiento en materia de protección de datos. Si crees que el tratamiento de datos llevado a cabo por tu entidad es susceptible de suponer un alto riesgo para los derechos y libertades de los usuarios o precisas más información sobre el proceso de realización de las evaluaciones de impacto, contacta con nosotros.