Togas.biz

El artículo 35 del Reglamento General de Protección de Datos (RGPD) introduce la figura de la evaluación de impacto en materia de protección de datos (EIPD), que deberá llevarse a cabo antes de iniciar un tratamiento de datos por el que exista un potencial riesgo alto de menoscabar los derechos y libertades de las personas físicas.

El propio artículo 35.2 RGPD indica los criterios a seguir para determinar si debe llevarse a cabo o no la EIPD. Concretamente, deberá hacerse si:

  • Se realiza una evaluación sistemática y exhaustiva de aspectos personales de las personas físicas (por ejemplo, se elaboran perfiles o se toman decisiones automatizadas);
  • Se tratan datos especiales a gran escala; o
  • Se observan de forma sistemática datos en una zona de acceso público.

Asimismo, en su apartado 4, el artículo 35 RGPD establece que la autoridad de control establecerá y publicará una lista de los tipos de operaciones que obligarán a los responsables del tratamiento a llevar a cabo una EIPD. Es en cumplimiento de este artículo que la Agencia Española de Protección de Datos (AEPD) ha publicado la Lista de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos.

Este listado, que no es exhaustivo, comprende 11 supuestos. En el caso de darse dos o más de estos supuestos, el responsable estará obligado a realizar una EIPD. Concretamente, se trata de los siguientes:

  • cuando se elaboren perfiles;
  • cuando se tomen decisiones automatizadas;
  • cuando se observe, geolocalice o controle de forma sistemática y exhaustiva al sujeto;
  • cuando se traten categorías especiales de datos o relativos a condenas o infracciones penales;
  • cuando se traten datos biométricos para identificar a una persona física;
  • cuando se traten datos genéticos;
  • cuando se traten datos a gran escala;
  • cuando el tratamiento implique la asociación, combinación o enlace a registros de bases de datos de tratamientos con diferentes finalidades o diferentes responsables;
  • cuando se traten datos de sujetos vulnerables o en riesgo de exclusión social, menores o con discapacidad;
  • cuando implique el uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas que supongan nuevas formas de recogida y utilización de datos; y
  • cuando se impida a los interesados a ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Antes de realizar la EIPD, el responsable deberá analizar los riegos que entrañan los tratamientos que lleva a cabo en el marco de su actividad. Para facilitar esta tarea, la AEPD publicó una Guía sobre el análisis del riesgo. En caso de que el análisis determine que el riesgo para los derechos y libertades es alto, el responsable deberá evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo, pudiendo basarse en la Guía práctica de la AEPD a tal efecto.

Esther Ballesteros Graduada

Sergi Gálvez Asociado