¿Cuándo será obligatoria la realización de una evaluación de impacto de acuerdo con el reglamento general de protección de datos?
Una Evaluación de Impacto en la Protección de Datos (EIPD) [1] es una operación consistente en el análisis de la naturaleza, alcance y otros aspectos de los riesgos que un determinado tratamiento de datos personales entrañará para los interesados, a efectos de poder definir e implementar las medidas adecuadas para contrarrestarlos o mitigarlos.
El Reglamento General de Protección de Datos de la UE (RGPD) [2] aprobado el 27 de abril de 2016 prevé la realización obligatoria de una EIPD previa a la ejecución de tratamientos de datos que cuenten con ciertas características. Por el contrario, la anterior Directiva 95/46 y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) vigente en España no prevén nada al respecto, lo que no fue óbice para que la Agencia Española de Protección de Datos (AEPD) publicara, hace casi tres años, una guía para realizar una Evaluación de Impacto en la Protección de Datos, como una forma de animar a los responsables de tratamientos de datos a realizarlas y también con vistas al futuro Reglamento, que en ese momento estaba siendo estudiado por el Consejo y el Parlamento en calidad de propuesta de la Comisión.
Básicamente, según el artículo 35 del Reglamento, la realización de una EIPD será obligatoria para el responsable cuando a priori sea probable que un determinado tratamiento de datos personales entrañe un alto riesgo para los derechos y las libertades de las personas físicas, que son los valores cuya protección se persigue a través de la evaluación de impacto y, en general, de todo el Reglamento.
El apartado 3 del artículo 35 establece tres tipos de tratamiento que, debido al alto riesgo que suponen para los derechos y libertades de las personas físicas requieren preceptivamente de una EIPD, enumeración que no es taxativa y podrá ser complementada por la futura ley de reforma de la LOPD para su adaptación al Reglamento y por las autoridades de control, facultadas para publicar listas de tipos de operaciones de tratamiento que requieran una EIPD y de aquéllas que no la requieran.
Los tres tipos de tratamiento enumerados en esta disposición son:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas (elaboración de perfiles) a efectos de adoptar una decisión con efectos jurídicos o que les afecte de forma similar;
- Tratamiento a gran escala de categorías de datos personales especialmente protegidos o relativos a condenas e infracciones penales;
- Observación sistemática a gran escala de una zona de acceso público.
Si la EIPD arroja como resultado un alto riesgo y el responsable, aunque no pueda garantizar la eliminación del riesgo, desee llevar a cabo el tratamiento, conforme a lo previsto en el artículo 36 del RGPD deberá consultar previamente a la autoridad de control, que lo asesorará por escrito y podrá adoptar las disposiciones que considere pertinentes haciendo uso de todas sus facultades, que incluyen desde una simple recomendación hasta la prohibición de llevarlo a cabo.
Por último recordar que las disposiciones que hemos examinado deben aplicarse en armonía con los principios de responsabilidad proactiva y de protección de datos desde el diseño y por defecto.
De su análisis conjunto podemos concluir que el responsable del tratamiento tendrá la carga de examinar cada tratamiento que proyecte llevar a cabo para determinar si se debe realizar una evaluación de impacto; de hacerla si es conveniente; de adoptar las medidas oportunas para mitigar los riesgos del tratamiento detectados por la EIPD y de consultar a la autoridad de control si es necesario, todo ello en forma previa a la realización del tratamiento y de manera que se pueda demostrar.
Y ello teniendo en cuenta que según las características de las operaciones de tratamiento, cualquier omisión o negligencia en uno de estos pasos podría ser considerada un incumplimiento del Reglamento e implicar una sanción económica de hasta 20.000.000 € o el 4% de la cifra de ventas global del ejercicio precedente.
[1] También conocida como “PIA” por sus siglas en inglés: Privacy Impact Asessment.
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Escrito por Carolina Marcela Reyes, Abogada