Protección de datos personales

¿Necesitas hacer una evaluación de impacto?

evaluación de impacto / data protection impact assessment

Una de las preguntas que toda persona física o jurídica que recabe datos personales debe hacerse es si el tratamiento de datos personales que realiza recae dentro del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante, ‘RGPD’) y, de ser así, si está obligado a realizar una evaluación de impacto relativa a la protección de datos (en adelante, ‘EIPD’).

 

Ámbito de aplicación del RGPD

En su ámbito de aplicación material, el art. 2 RGPD establece que el Reglamento se aplica ‘al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero’.

En el apartado segundo el citado artículo añade algunas excepciones, entre las que destacan los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Es por ello que el mantenimiento o uso de una agenda de contactos por el ciudadano de a pie con el simple fin de comunicarse y no ofrecer un servicio o producto no recae dentro del ámbito de aplicación material del RGPD.

En lo concerniente al ámbito de aplicación territorial, el art. 3 RGPD establece que el Reglamento ‘se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no’. Es decir, basta que exista un establecimiento en la Unión para que se le aplique el Reglamento, aunque dicha compañía se lleve los datos fuera de la Unión para tratarlos.

Además, independientemente de donde esté establecida la compañía que trate los datos personales, también le aplicará el RGPD cuando trate datos personales de interesados que se encuentren en la Unión siempre que: (i) ofrezca bienes o servicios a dichos interesados o (ii) controle su comportamiento.

 

¿Qué es una Evaluación de Impacto sobre la Protección de Datos?

Una evaluación de impacto es ‘un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos’ (GT29, WP 248 ‘Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679’, de 4 de abril de 2017).

La obligación de realizar una EIPD viene impuesta por el artículo 35 del RGPD: ‘cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales’.

Una evaluación de impacto es más que un análisis de riesgos. La APDCAT añade que la EIPD es un proceso orientado a ‘asegurar preventivamente que, cuando las operaciones de tratamiento pueden comportar riesgos especialmente relevantes (alto riesgo), se toman medidas para reducir el riesgo de dañar o perjudicar a las personas, o afectarlas negativamente en los derechos y libertades impidiendo o limitando su ejercicio o contenido’ (‘Guia pràctica, avaluació d’impacte relativa a la protección de dades’, de 18 de enero de 2018).

 

¿Quién es el sujeto obligado a hacer la EIPD?

El obligado a realizar la evaluación de impacto es el responsable del tratamiento, sin perjuicio de que este recabe la colaboración del encargado o del delegado de protección de datos. También cabe la opción de que la externalice, aunque ello no le eximirá de responsabilidad, por ser él el sujeto obligado por ley (art. 35 RGPD).

El responsable no deberá de hacer una EIPD para todos los tratamientos que lleve a cabo, sino únicamente para esos que conlleven un ‘alto riesgo’, pudiendo además agrupar tratamientos similares que presenten un riesgo similar bajo una misma EIPD.

Los criterios para determinar cuando existe un alto riesgo no vienen recogidos en el articulado del RGPD, sino que los encontraremos en los considerandos 75, 76, 90, 91 y, especialmente, en las orientaciones del WP 248 del GT29.

 

¿Cuándo es necesario hacer una EIPD?

Una formulación muy interesante y práctica de los pasos a seguir para evaluar la necesidad de realizar una EIPD es la que formula la APDCAT en la guía citada más arriba. Esta distingue entre tres niveles de análisis:

Primer nivel de análisis

Los artículos 35.4 y 35.5 del RGPD establecen la obligación para las autoridades de control nacionales de publicar una lista definiendo los tipos de operaciones de tratamiento que requieren una evaluación de impacto y otra estableciendo los que no.

Por lo tanto, en este primer nivel el responsable verificará si las operaciones de tratamiento que se pretenden llevar a cabo han sido listadas por la autoridad de control. De no haberlo sido, se pasará al segundo nivel de análisis.

Segundo nivel de análisis

En este segundo nivel el responsable comprobará si el tratamiento a realizar es uno de los incluidos en el artículo 35.3, que establece tres casos en los que es obligatorio completar una evaluación de impacto:

  1. cuando la finalidad del tratamiento sea la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. cuando se pretenda tratar categorías especiales de datos o datos personales relativos a condenas e infracciones penales a gran escala, o
  3. cuando el tratamiento consista en la observación sistemática a gran escala de una zona de acceso público.

Si el tratamiento encaja en uno de los supuestos anteriores el responsable deberá de llevar a cabo la evaluación de impacto, de lo contrario, deberá pasar al tercer nivel de análisis.

Tercer nivel de análisis

En este nivel el responsable se cerciorará de que el tratamiento no arroja un alto riesgo y no es necesario llevar a cabo la EIPD. Para ello, deberá de analizar las características del tratamiento, que la APDCAT sintetiza en las siguientes:

  • La naturaleza del tratamiento: se trata de valorar las características esenciales del tratamiento, para verificar si puede suponer un alto riesgo (e.g. si el tratamiento se basa en el interés legítimo; si los datos están destinados a ser tratados durante mucho tiempo, etc.).
  • El alcance del tratamiento: se trata de valorar los efectos o consecuencias del tratamiento, hasta dónde puede llegar y si puede suponer un alto riesgo (e.g. toma de decisiones con efectos jurídicos; valoración de riesgos crediticios, etc.).
  • El contexto del tratamiento: se trata de valorar el conjunto de circunstancias en que se harán las operaciones de tratamiento, a fin de verificar si pueden suponer un alto riesgo (e.g. uso de nuevas tecnologías; uso de tecnologías especialmente invasivas para la privacidad, etc.).
  • Las finalidades del tratamiento: se trata de identificar cual es la finalidad del tratamiento y si de el deriva un riesgo significativo (e.g. toma de decisiones; elaboración de perfiles, etc.).

En los niveles de análisis primero y segundo la obligatoriedad de realizar la evaluación de impacto resulta del propio Reglamento; en el tercero será el análisis del tratamiento realizado por el responsable el que revele si dicho tratamiento representa un riesgo alto y debe, consecuentemente, llevar a cabo la EIPD.

Finalmente, debe remarcarse que en tanto en cuanto las autoridades de control no publiquen las citadas listas (e incluso una vez publicadas), para evaluar la necesidad de llevar a cabo una EIPD será necesario tener en cuenta las orientaciones del GT29, WP 128 y las guías de las autoridades de control.

 


Foto de cabecera de energipic.com, en Pexels, licencia CC0.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *