¿Cuándo será necesario realizar Evaluaciones de Impacto?

Desde la aplicación obligatoria de la nueva normativa europea de protección de datos, ahora hará casi un año, las evaluaciones de impacto y la necesidad de llevarlas a cabo es algo que ha quedado en la mayoría de los casos a interpretación de profesionales del sector y responsables del tratamiento.

En este sentido, la Agencia Española de Protección de Datos (AEPD) publicó ayer (6 de mayo de 2019) un listado de tratamientos de datos personales en los cuales será obligatorio realizar una evaluación de impacto.

Cómo decíamos, el Reglamento General de Protección de Datos (RGPD) (679/2016) introduce el concepto de  las evaluaciones de impacto – EIPD – también conocidas como PIA, iniciales en inglés de Privacy Impact Assessment.

Los artículos relativos a las Evaluaciones de Impacto del RGPD

En su artículo 35.1, el RGPD regula la obligación de realizar una evaluación de impacto relativa a la Protección de Datos (EIPD). En concreto, su realización conlleva la necesidad de evaluar el origen, naturaleza, la particularidad y la gravedad del riesgo. Y establece como criterio para determinar el momento en el que se deberá llevar a cabo una evaluación de este tipo en la protección de datos, la anterioridad a la puesta en funcionamiento de los tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, estos entrañen un alto riesgo para los derechos y libertades de las personas.

Además, en el apartado 4 del mismo artículo regula la necesidad de que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto.

En este sentido, la Agencia Española de Protección de Datos publicó la Guía de Evaluación de Impacto en la Protección de Datos con tres finalidades muy concretas:

  • Ayudar a las organizaciones a identificar las actividades de alto riesgo.
  • Gestionar los posibles peligros antes de que se produzcan.
  • Establecer las medidas de control pertinentes para minimizar el riesgo antes de iniciar el tratamiento.

Así mismo, la también nueva Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales establece un listado no limitativo de los casos en los que se debería realizar una EIPD.

La lista orientativa

Visto lo anterior, los casos en los que se ha considerado que se deberá de realizar un EIPD, teniendo en cuenta las excepciones previstas por la normativa, son los siguientes:

  1. Tratamientos que impliquen perfilado o valoración de sujetos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
  4. Tratamientos que impliquen el uso de categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
  11. Tratamiento de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Conclusiones

La Evaluación de Impacto es claramente el mecanismo estrella para minimizar el riesgo ante tratamientos que conllevan un alto riesgo para los derechos de las personas y sus datos personales. Es por tanto importante definir los casos en los que será imprescindible llevarlas a cabo y los casos en los que será simplemente recomendable.