Togas.biz

El 25 de Mayo de 2018 se hace efectiva una de las novedades del Reglamento Europeo de Protección de Datos, (RGPD), la obligación a realizar Evaluaciones de Impacto en Protección de Datos (EIPD) en algunos casos y supuestos concretos.

Dichas evaluaciones de impacto serán obligatorias en los casos en que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas. Se habrán de evaluar el origen, la naturaleza, las particularidades de los tratamientos, su necesidad y proporcionalidad, así como los riesgos y amenazas que comporten, y su probabilidad de impacto. La intención es eliminar dichos riesgos antes de que estos se materialicen.

Los supuestos recogidos en el artículo 35.2 del RGPD en los que el responsable del tratamiento de datos se encuentra en la obligación de realizar una EIPD son:

  • Evaluación sistemática y exhaustiva de aspectos personales que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas;
  • Tratamiento de datos especiales a gran escala;
  • Observación sistemática a gran escala de una zona de acceso público

Tal y como podemos comprobar, dichos supuestos no son lo detallados y exhaustivos que nos gustaría por lo que la Agencia Española de Protección de Datos establece que será necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con 2 o más criterios de los que indicamos a continuación, salvo los exceptuados por el RGPD:

  1. Elaboración de perfiles;
  2. Adopción de decisiones automatizadas;
  3. Observación, geolocalización o control de forma sistemática y exhaustiva a los interesados;
  4. Tratamiento de determinadas categorías especiales de datos o relativos a condenas o infracciones penales;
  5. Tratamiento de datos biométricos para identificar de forma unívoca a una persona;
  6. Tratamiento de datos genéticos;
  7. Tratamiento de datos a gran escala;
  8. Tratamientos de datos que impliquen la asociación, combinación o enlace a registros de bases de datos de tratamientos con diferentes finalidades o diferentes responsables;
  9. Tratamientos de datos de individuos vulnerables o en riesgo de exclusión social, menores o con discapacidad;
  10. Uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas que supongan nuevas formas de recogida y utilización de datos;
  11. Tratamientos de datos que impidan a los interesados a ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Cuantos más criterios reúna, mayor es el riesgo potencial, y mayor es la necesidad de hacer una EIPD. Este listado publicado por la AEPD no es definitivo, ni está cerrado, puede que existan o se den supuestos en los que sea necesaria una EIPD y que aún no estén recogidos.