Evaluación de Impacto de Protección de Datos

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) establece en su Art. 35 que las empresas que sean responsable del tratamiento deben realizar una Evaluación de Impacto sobre determinados tratamientos de datos (EIPD o DPIA).

Debe realizarse antes de iniciar el tratamiento, en casos en que el tratamiento implique un alto riesgo o esté en la lista del Art. 35 RGPD, es decir cuando el responsable del tratamiento realice lo siguiente:

a) evaluación de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

 

b) tratamiento a gran escala de las categorías especiales de datos (salud, políticos, religiosos, sindicales…) o de los datos personales relativos a condenas e infracciones penales

 

c) observación sistemática a gran escala de una zona de acceso público.

 

En particular, ¿Cuándo SÍ debe realizarse una EIPD?

Cuando un tratamiento cumpla con dos o más criterios siguientes, deberá realizarse una EIPD. Cuantos más criterios se cumplan, mayores riesgos entrañará en tratamiento:

  1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sus hábitos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD (salud, toma de temperatura, test sobre anticuerpos…), datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física (huella, acceso a edificios).
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

¿Qué debe contener la EVALUACIÓN DE IMPACTO?

  • una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento
  • interés legítimo perseguido por el responsable del tratamiento
  • evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
  • evaluación de los riesgos para los derechos y libertades de los interesados
  • medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el Reglamento Europeo de Protección de Datos, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Deberá realizarse previamente a la EIPD un Informe de necesidad o no de una EIPD.

La Evaluación de Impacto de Protección de Datos necesitará el asesoramiento del DELEGADO DE PROTECCIÓN DE DATOS, en caso de haberse nombrado, pero no podrá ser realizada por el Delegado.

Más Información

¿Hablamos?

 

 

Evaluación de impacto en la protección de datos

Twitter
LinkedIn
Instagram
Call Now Button