Una de las consultas que más formulan nuestros clientes estos últimos días es acerca la obligatoriedad o no de llevar a cabo una Evaluación de Impacto (en adelante, EIPD) en Protección de Datos. Pero, antes de responder a tal pregunta, ¿qué es la EIPD? Se trata, sencillamente, de un ejercicio de análisis de los riesgos que un determinado sistema de información, servicio y/o producto puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan y, como resultado de tal análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para suprimir o atenuar aquéllos que se hayan podido identificar.
Con la publicación del nuevo Reglamento General de Protección de Datos (a partir de ahora, RGPD) se establece la obligación de realizar una EIPD de aquellos tratamientos que puedan comportar un riesgo alto para los derechos de las personas.
¿Y cuál es la finalidad de una EIPD?
El objetivo principal no es otro que permitir a los responsables del tratamiento tomar las medidas adecuadas para reducir los riesgos de causar daño a los derechos de los interesados (minimizar la probabilidad de su materialización y las consecuencias negativas para éstos).
Asimismo cabe destacar que las EIPD deben efectuarse antes de iniciar las operaciones del tratamiento, debiendo, en primer lugar, determinar la necesidad o no del análisis de la evaluación de impacto.
¿Cuándo debe realizarse la EIPD?
No en todas las ocasiones es necesario redactar un EIPD. Sin embargo, sí es recomendable hacerlo ante cualquier nuevo tratamiento de los datos, debiendo, en su caso, analizar los posibles riesgos que se pueden generar.
A pesar de todo lo anterior, la nueva normativa establece que será obligatoria siempre que se den los siguientes requisitos:
• Alto riesgo.
Esto es, cuando el tratamiento de los datos comporte un alto riesgo para los derechos de las personas. Ejemplo: empleo de nuevas tecnologías.
• Tratamiento a gran escala de datos personales especialmente protegidos.
Básicamente, cuando se realiza un tratamiento a gran escala de datos muy sensibles. Ejemplo: datos personales de menores.
• Uso de tecnologías invasivas.
Cuando se emplean tecnologías especialmente invasivas con la privacidad, tales como videovigilancia a gran escala, vigilancia electrónica, biometría, minería de datos, drones, geolocalización, entre otras.
• Evaluación sistemática.
En el caso que se evalúen aspectos personales de las personas basados en un tratamiento automatizado. Ejemplo: elaboración de perfiles.
¿Qué empresas están obligadas a realizar un EIPD?
Algunas de las organizaciones que sí deben llevar a cabo un EIPD son:
→ Hospitales.
→ Empresas de seguridad privada, control y vigilancia.
→ E-commerce.
→ Colegios e institutos.
→ Farmacéuticas.
→ Comercializadoras de energía.
y, en el caso que estés obligado a realizar una Evaluación de Impacto en Protección de Datos,
¿Qué contenido se debe incluir en la EIPD?
Operaciones de Tratamiento previstas y fines del Tratamiento
Se deberá llevar a cabo una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, así como, siempre que proceda, el interés legítimo que persigue el responsable del tratamiento.
Evaluación de la necesidad y de la proporcionalidad
Se tendrá que incluir una evaluación acerca de la necesidad y de la proporcionalidad de las operaciones del tratamiento con respecto a la finalidad perseguida.
Evaluación de los riesgos
Se realizará una evaluación de los riesgos para los derechos de los interesados, incluyendo errores en el tratamiento de datos especialmente protegidos, violaciones de confidencialidad, dificultades para ejercer los derechos como titular de los datos, falta de diligencia del encargado, entre otras cuestiones.
Medidas preventivas
Se deberán establecer las medidas previstas para afrontar los riesgos, incluyendo las garantías, las medidas de seguridad y los mecanismos que garanticen la protección de los datos personales.
En asesorialopd.com contamos con un equipo altamente cualificado en protección de datos, acumulando años de experiencia en el sector y habiendo ayudado a muchos clientes a redactar las evaluaciones de impacto en protección de datos. Si necesitas consultoría en RGPD o necesitas aclaración adicional en alguna cuestión, puedes contactar con nosotros a través del formulario de contacto de la web o directamente al email: info@asesorialopd.com
Contacta con un abogado experto