El RGPD 2016/679 incorpora esta nueva obligación para algunos responsables y encargados del tratamiento, que consiste en evaluar el impacto que las operaciones de tratamiento de datos personales pueden tener sobre la protección de esos datos, cuando el uso de tecnologías avanzadas, o el volumen de datos tratados, o su especial sensibilidad, puedan poner en riesgo los derechos y libertades de las personas.
Como ya hemos visto, en el nuevo modelo de cumplimiento en materia de protección de datos no sólo hay que cumplir con la normativa, sino que debemos estar en disposición de demostrar el cumplimiento de las obligaciones… Y las EIPD son muy útiles para poder gestionar responsablemente esas obligaciones, gestionándolas mediante un modelo objetivo, repetible, comparable y documentado.
Es por eso que en nuestra metodología establecemos los siguientes hitos en su desarrollo:
- Análisis de la organización y determinación de la necesidad -o no- de realizar una EIPD.
- Ejecución de la EIPD propiamente dicha:
- Descripción sistemática de las operaciones de tratamiento y su finalidad.
- Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.
- Valoración del riesgo (identificación, análisis y evaluación del riesgo para los derechos y libertades).
- Tratamiento del riesgo (medidas previstas para afrontar los riesgos).
- El informe de evaluación de impacto (dimensión interna y pública de la evaluación).
Nuestra metodología sigue las propuestas normativas del RGPD y la LOPD-GDD, así como las indicaciones del Comité Europeo de Protección de Datos (ex GT29) y de las Autoridades de Control Españolas, colaborando estrechamente con la figura del DPO y los equipos de trabajo del responsable.
La evaluación de impacto relativa a la protección de los datos a que se refiere el RGPD se requerirá en los siguientes casos:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) Observación sistemática a gran escala de una zona de acceso público.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el RGPD.
Por su parte la LOPD-GDD 3/2018 establece que tanto responsable como encargado deberán tener en cuenta los mayores riesgos que podrían producirse en los siguientes supuestos:
a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
Por otra parte, la EIPD será necesaria cuando se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica.
Si necesitas realizar una EIPD ponte en contacto con nosotros y estableceremos de manera personalizada cómo podemos llevarla a cabo.