NOVEDADES EN PROTECCIÓN DE DATOS Y EVALUACIÓN DE IMPACTO
¿Cuándo debemos realizar una evaluación de impacto relativa a la protección de datos (EIPD)?
La Agencia Española de Protección de Datos publicó finalmente un listado de operaciones de tratamientos de datos que requieren la realización de una evaluación de impacto sobre la protección de los datos, EIPD O PIA (por sus siglas en inglés, privacy impact assessment). El listado no establece un númerus clausus de supuestos, debiendo acudir a la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos” elaborada por el Grupo de trabajo a la hora de determinar la necesidad de realizar o no la EIPD.
Según el criterio de la Agencia, resulta obligatorio realizar una EIPD en caso de que los tratamientos cumplan con dos o más criterios del listado publicado.
LISTADO DE TRATAMIENTOS QUE REQUIEREN UNA EVALUACIÓN DE IMPACTO
La EIPD es un informe que tiene por finalidad evaluar de forma anticipada, los riesgos y amenazas a las que se verán sometidos los datos personales según los tipos de los tratamientos previstos.
La evaluación de impacto responde al principio de responsabilidad proactiva o accountability del RGPD, por lo que, en la práctica, los distintos responsables o encargados deberán evaluar continuamente las amenazas y los riesgos producidos por sus actividades de tratamiento con el objetivo de determinar la probabilidad de que un tratamiento en concreto entrañe un alto riesgo para los derechos y libertades de las personas físicas».