NOVEDADES EN PROTECCIÓN DE DATOS Y EVALUACIÓN DE IMPACTO
¿Cuándo debemos realizar una evaluación de impacto relativa a la protección de datos (EIPD)?
La Agencia Española de Protección de Datos publicó finalmente un listado de operaciones de tratamientos de datos que requieren de un EIPD O PIA (por sus siglas en inglés, privacy impact assessment) es la realización de una evaluación de impacto sobre la protección de los datos. El listado no establece un númerus clausus de supuestos. Indican que se debe acudir a la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos” elaborada por el Grupo de trabajo a la hora de determinar la necesidad de realizar o no la EIPD.
Según el criterio de la Agencia, resulta obligatorio realizar una EIPD en caso de que los tratamientos cumplan con dos o más criterios del listado publicado.
LISTADO DE TRATAMIENTOS QUE REQUIEREN UNA EVALUACIÓN DE IMPACTO
| Tratamientos que impliquen el perfilado o valoración de sujetos. |
| Tratamientos que impliquen la toma de decisiones automatizadas. |
| Tratamientos que impliquen la observación, geolocalización o control del interesado de forma sistemática y exhaustiva. |
| Tratamientos que impliquen el uso de categorías especiales de datos, condenas e infracciones penales o datos que permitan identificar la solvencia patrimonial o situación financiera. Es importante destacar que en este apartado, la Agencia no hace referencia al criterio de “gran escala”. |
| Tratamientos que impliquen el uso de datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles. |
| Tratamientos que impliquen el uso de datos biométricos que identifiquen de forma unívoca a una persona. |
| Tienen la consideración de dato biométrico las huellas dactilares, la retina y el iris de los ojos, patrones faciales o de voz, el ADN, medidas de las manos, etc. |
| Tratamientos que impliquen el uso de datos genéticos para cualquier fin. |
| Tratamientos que impliquen el uso de datos a gran escala. |
| Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos. |
| Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia. |
| Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas. |
| Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar. |
Un informe para evaluar riesgos y amenazas
La EIPD es un informe que tiene por finalidad evaluar de forma anticipada, los riesgos y amenazas a las que se verán sometidos los datos personales según los tipos de los tratamientos previstos.
La evaluación de impacto responde al principio de responsabilidad proactiva o accountability del RGPD, por lo que, en la práctica, los distintos responsables o encargados deberán evaluar continuamente las amenazas y los riesgos producidos por sus actividades de tratamiento con el objetivo de determinar la probabilidad de que un tratamiento en concreto entrañe un alto riesgo para los derechos y libertades de las personas físicas».
