El artículo 35 del Reglamento General de Protección de Datos, establece que se deberá realizar una evaluación de impacto cuando “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas” Es probable que el concepto de “entrañar un alto riesgo para los derechos y libertades de las personas físicas” suene poco concreto, provocando que tengamos dudas acerca de si esto se aplica a nuestra organización o no. Es cierto que a lo largo del articulado del Reglamento, se identifican algunos tratamientos considerados de “alto riesgo”, pero obviamente no se contemplan todos los supuestos que a diario surgen en las organizaciones. Por ello, en este post hemos decidido exponer algunas reglas que nos ayuden a determinar si esta obligación aplica a nuestra compañía. En primer lugar debemos definir qué es una evaluación de impacto. Es cierto que el Reglamento, no nos provee de una definición específica de este concepto, pero sí que nos dice que deberá contener:
Como decíamos antes, a lo largo del Reglamento se describen algunos supuestos considerados de “alto riesgo” además de venir recogidos en algunos documentos elaborados por la Autoridades de Control (WP 248). Entre otros, podemos destacar los siguientes tratamientos de alto riesgo:
Estos son algunos de los casos en los que tendremos que realizar análisis de impacto. No obstante, el propio Reglamento, establece que las Autoridades de Control, en nuestro caso la Agencia Española de Protección de Datos, están obligadas a publicar un listado de tratamientos de alto riesgo para ayudar a las compañías a determinar sus obligaciones. No contamos con esta herramienta, de momento, pero sí nos ofrecen alguna casuística:
De momento contamos con esta información, que si bien no es escasa, tampoco es suficiente para conseguir seguridad jurídica completa en las actividades de nuestra empresa. Será necesario contar con la visión y asesoramiento de profesionales que sepan identificar qué necesidades tiene nuestra compañía y pueda reducir el riesgo de sanción y el respeto de los derechos de los interesados.
Eduardo Martínez