La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.
En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.
La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.
Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.
Es cierto que podemos pensar que estamos ante una obligación algo ambigua y en muchos casos, complicada para los responsables del tratamiento determinar cuándo estamos ante un alto riesgo para los derechos y libertades. Por suerte, además de que el RGPD nos da algunas “pistas” que ahora veremos, la Agencia Española de Protección de Datos ha indicado que la Guía para la Evaluación de Impacto, que publicó en 2014, será actualizada para incorporar las novedades del RGPD.
La EIPD se requerirá en todo caso cuando (art.35.3 RGPD):
– Se elaboren perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
– Se realicen tratamientos a gran escala de datos sensibles (datos biométricos o datos sobre condenas e infracciones penales entre otros).
Aquí el RGPD en su considerando 91 aclara que el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.
– Exista una observación sistemática a gran escala de una zona de acceso público.
De momento, para valorar si un tratamiento se realiza a gran escala, tenemos que partir de una serie de criterios que el Grupo de Trabajo del artículo 29 proporciona en la Guía sobre el Delegado de Protección de Datos (DPO) que publicó el pasado diciembre, como son:
1. el número de sujetos afectados,
2. el volumen de datos tratados que se están tratando,
3. la duración o permanencia de la actividad de procesamiento de datos y,
4. la extensión geográfica.
En todo caso el RGPD también indica que las autoridades de protección de datos están obligadas a confeccionar listas adicionales de tratamientos que requerirán una EIPD. En España la AEPD ya ha afirmado que elaborará esa lista con anterioridad a la aplicación del RGPD, dado que tiene que ser sometida a la aprobación del futuro Comité Europeo de Protección de Datos y éste sólo se constituirá a partir de la fecha de aplicación del RGPD.
