NOVEDADES EN PROTECCIÓN DE DATOS Y EVALUACIÓN DE IMPACTO
¿Cuándo debemos realizar una evaluación de impacto relativa a la protección de datos (EIPD)?
La Agencia Española de Protección de Datos publicó finalmente un listado de operaciones de tratamientos de datos que requieren de un EIPD o PIA (por sus siglas en inglés, *privacy impact assessment*). El listado no establece un *númerus clausus* de supuestos. Indican que se debe acudir a la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos” elaborada por el Grupo de trabajo a la hora de determinar la necesidad de realizar o no la EIPD.
Según el criterio de la Agencia, resulta obligatorio realizar una EIPD en caso de que los tratamientos cumplan con dos o más criterios del listado publicado.
LISTADO DE TRATAMIENTOS QUE REQUIEREN UNA EVALUACIÓN DE IMPACTO
| Tratamiento |
| Tratamientos que impliquen el perfilado o valoración de sujetos. |
| Tratamientos que impliquen la toma de decisiones automatizadas. |
| Tratamientos que impliquen la observación, geolocalización o control del interesado de forma sistemática y exhaustiva. |
| Tratamientos que impliquen el uso de categorías especiales de datos (incluyendo condenas e infracciones penales) o datos que permitan identificar la solvencia patrimonial o situación financiera. |
| Tratamientos que impliquen el uso de datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información (servicios web, televisión interactiva o aplicaciones móviles). |
| Tratamientos que impliquen el uso de datos biométricos que identifiquen de forma unívoca a una persona. |
| Tienen la consideración de dato biométrico las huellas dactilares, la retina y el iris de los ojos, patrones faciales o de voz, el ADN, medidas de las manos, etc. |
| Tratamientos que impliquen el uso de datos genéticos para cualquier fin. |
| Tratamientos que impliquen el uso de datos a gran escala. |
| Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos. |
| Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social (menores de 14 años, mayores con algún grado de discapacidad, víctimas de violencia de género, etc.). |
| Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas. |
| Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato (ej. datos recopilados por un responsable distinto al que los va a tratar). |
Un informe para evaluar riesgos y amenazas
La EIPD es un informe que tiene por finalidad evaluar de forma anticipada, los riesgos y amenazas a las que se verán sometidos los datos personales según los tipos de los tratamientos previstos.
La evaluación de impacto responde al principio de responsabilidad proactiva o *accountability* del RGPD, por lo que, en la práctica, los distintos responsables o encargados deberán evaluar continuamente las amenazas y los riesgos producidos por sus actividades de tratamiento con el objetivo de determinar la probabilidad de que un tratamiento en concreto entrañe un alto riesgo para los derechos y libertades de las personas físicas.
