La evaluación de impacto relativa a la protección de datos en el RGPD. Parte I

Viernes, 24 Febrero 2017 09:47
Publicado en Blog
Escrito por  Visto 2302 veces
Valora este artículo
(2 votos)

La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.

En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.

La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.

Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.

Es cierto que podemos pensar que estamos ante una obligación algo ambigua y en muchos casos, complicada para los responsables del tratamiento determinar cuándo estamos ante un alto riesgo para los derechos y libertades. Por suerte, además de que el RGPD nos da algunas “pistas” que ahora veremos, la Agencia Española de Protección de Datos ha indicado que la Guía para la Evaluación de Impacto, que publicó en 2014, será actualizada para incorporar las novedades del RGPD.

La EIPD se requerirá en todo caso cuando (art.35.3 RGPD):

- Se elaboren perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.

- Se realicen tratamientos a gran escala de datos sensibles (datos biométricos o datos sobre condenas e infracciones penales entre otros). 

Aquí el RGPD en su considerando 91 aclara que el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

- Exista una observación sistemática a gran escala de una zona de acceso público.

De momento, para valorar si un tratamiento se realiza a gran escala, tenemos que partir de una serie de criterios que el Grupo de Trabajo del artículo 29 proporciona en la Guía sobre el Delegado de Protección de Datos (DPO) que publicó el pasado diciembre, como son:

1. el número de sujetos afectados,
2. el volumen de datos tratados que se están tratando,
3. la duración o permanencia de la actividad de procesamiento de datos y,
4. la extensión geográfica.

En todo caso el RGPD también indica que las autoridades de protección de datos están obligadas a confeccionar listas adicionales de tratamientos que requerirán una EIPD. En España la AEPD ya ha afirmado que elaborará esa lista con anterioridad a la aplicación del RGPD, dado que tiene que ser sometida a la aprobación del futuro Comité Europeo de Protección de Datos y éste sólo se constituirá a partir de la fecha de aplicación del RGPD.

Tamara Morales Martín

Abogada especialista en Nuevas Tecnologías y Protección de Datos.

Directora de PRODAT en Castilla y León

Sitio Web: prodat.es/castilla-y-leon.html
Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 24 Febrero 2017 10:00

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal