El Comité Europeo de Protección de Datos (CEDP) ha publicado su dictamen 6/2019 en relación con el proyecto de listado sobre los tratamientos que requieren una evaluación de impacto, elaborado la Agencia Española de Protección de Datos (AEPD).
Uno de los aspectos clave del Reglamento General de Protección de Datos (RGPD) es la obligación de llevar a cabo una evaluación de impacto para valorar cómo pueden afectar a la protección de datos determinados tratamientos. El art. 35.1 RGPD prevé que deberá llevarse a cabo la evaluación de impacto “[c]uando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas (…)”
Esta evaluación, de acuerdo con el art. 35.3 RGPD, se requerirá en todo caso en los supuestos de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar,
b) tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales, o
c) observación sistemática a gran escala de una zona de acceso público.
Esta relación de supuestos, sin embargo, no es exhaustiva. El Grupo de Trabajo del Artículo 29 (que tras el RGPD fue sustituido por el CEPD) ya emitió unas directrices para determinar si un tratamiento entraña probablemente un alto riesgo y requiere por tanto llevar a cabo la evaluación de impacto.
El RGPD dispone que las autoridades de supervisión establecerán y publicarán una lista (que nunca será exhaustiva) de los tipos de tratamientos que requieran una evaluación de impacto, lista que comunicará al CEPD (art. 35.4 RGPD). En aplicación de este precepto, la Agencia Española de Protección de Datos (AEPD) remitió al CEPD un borrador de listado de tratamientos que requieren evaluación de impacto.
Entre las funciones del CEPD se halla la de asegurar que el RGPD se aplica de modo uniforme en el conjunto de la UE. Así, el art. 64.1 RGPD le encomienda emitir un dictamen cuando una autoridad de protección de datos quiera publicar una relación de tratamientos sujetos a evaluación de impacto. No se persigue fijar un único listado para toda la UE, pero sí evitar inconsistencias relevantes y armonizar los criterios seguidos por las distintas autoridades de control.
El dictamen emitido por el CEPD sólo se pronuncia sobre las actividades de tratamiento (i) que estén relacionadas con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o (ii) que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.
El CEPD señala en su dictamen que el listado de la AEPD debería incluir entre los supuestos de obligación de llevar a cabo una evaluación de impacto, cuando concurra, por lo menos, otro criterio de la lista:
Seguiremos con atención la publicación del listado final por parte de la AEPD, del que daremos noticia en este blog.
Miquel Peguera
