Datos Personales, RGPD

Evaluación de Impacto relativa a la Protección de Datos

El artículo 35 del Reglamento General de Protección de Datos (RGPD) introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD), que en opinión del Grupo de Trabajo del Artículo 29[1] (GT29), puede definirse como:

“un proceso concebido para describir el tratamiento (de datos personales), evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos”.

Si bien el RGPD no define formalmente el concepto de EIPD, el artículo 35, apartado 7, refiere a sus elementos mínimos, que son los siguientes:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • Cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y permitan demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

La EIPD debe incluir en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el RGPD.

¿Cuándo resulta exigible la elaboración de una EIPD?

La elaboración de una EIPD es exigible cuando sea probable que un tipo de tratamiento, en particular si emplea nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un riesgo alto para los derechos y libertades de las personas físicas (artículo 35, apartado 1 del RGPD).

Fundamentalmente, la obligación de los responsables de llevar a cabo una EIPD debe entenderse en el contexto de una obligación general de gestionar adecuadamente los riesgos derivados del tratamiento de datos personales, a través de los siguientes procesos (Recital 90 del RGPD):

  • Establecer el contexto del tratamiento (tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como las fuentes del riesgo).
  • Evaluar los riesgos (en particular, evaluar la probabilidad y gravedad del riesgo alto para los derechos y libertades de las personas físicas).
  • Tratar los riesgos (mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el RGPD).

Los responsables deben evaluar continuamente los riesgos que se originan como resultado de sus actividades de tratamiento, con el objeto de identificar cuándo es probable que un determinado tipo de tratamiento represente un “riesgo alto” para los derechos y las libertades de las personas físicas; en particular en lo que concierne a los derechos a la protección de datos y a la intimidad, aunque también pueden estar implicados otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, la libertad de circulación, la prohibición de discriminación, el derecho a la libertad y la libertad de conciencia y de religión.

Cuando una EIPD demuestre que existen riesgos altos residuales, el responsable deberá consultar a la autoridad de protección de datos personales, de manera previa a proceder con el tratamiento (artículo 36, apartado 1 del RGPD).

Tratamientos que entrañan riesgos altos en el ámbito del RGPD

Aunque en otras circunstancias pueda requerirse una EIPD, el artículo 35, apartado 3 del RGPD, proporciona algunos ejemplos de cuando una operación de tratamiento “es probable que entrañe un riesgo alto”:

  • evaluación sistemática y exhaustiva de aspectos de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles.
  • tratamiento a gran escala de las categorías especiales de datos (también conocidos como datos sensibles) o de los datos personales relativos a condenas e infracciones penales.
  • observación sistemática a gran escala de una zona de acceso público.

La lista anterior no es exhaustiva. Pueden existir operaciones de tratamiento de “alto riesgo” que no estén incluidas pero que supongan unos riesgos similarmente elevados. Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran una EIPD debido a su inherente alto riesgo, el GT29 sugiere considerar los nueve criterios siguientes:

  • Evaluación o puntuación: Incluida la elaboración de perfiles y la predicción, especialmente de “aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado”.
  • Toma de decisiones automatizada con efecto jurídico significativo o similar: Tratamiento destinado a tomar decisiones sobre los interesados que produce “efectos jurídicos para las personas físicas” o que les afectan “significativamente de modo similar”. Por ejemplo, el tratamiento puede provocar exclusión o discriminación contra las personas.
  • Observación sistemática: Tratamiento usado para observar, supervisar y controlar a las personas físicas, incluidos los datos recabados a través de redes u “observación sistemática […] de una zona de acceso público”.
  • Datos sensibles o datos muy personales: Esto incluye las categorías especiales de datos personales, así como datos personales relativos a condenas e infracciones penales. Se trata de datos que están vinculados a hogares y actividades privadas (como comunicaciones electrónicas cuya confidencialidad debe ser protegida); que afectan al ejercicio de un derecho fundamental (como datos de localización cuya recolección compromete la libertad de circulación) o cuya violación implica claramente graves repercusiones en la vida cotidiana del interesado (como datos financieros que podrían usarse para cometer fraude en los pagos).
  • Tratamiento de datos a gran escala: Si bien el RGPD no define qué se entiende por “gran escala”, el GT29 recomienda tener en cuenta los factores relacionados con (1) el número de interesados afectados, (2) el volumen de datos o la variedad de elementos de datos distintos que se procesan, (3) la duración, o permanencia, de la actividad de tratamiento de datos, y (4) el alcance geográfico de la actividad de tratamiento.
  • Asociación o combinación de conjuntos de datos: Por ejemplo, procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado.
  • Datos relativos a interesados (personas) vulnerables: Entre los interesados vulnerables puede incluirse a niños (se considera que no son capaces de denegar o autorizar consciente y responsablemente el tratamiento de sus datos), empleados, segmentos más vulnerables de la población que necesitan una especial protección (personas con enfermedades mentales, solicitantes de asilo, personas mayores, pacientes, etc.).
  • Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas: Como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. El uso de nuevas soluciones tecnológicas puede implicar un riesgo alto para los derechos y libertades de las personas.
  • Impedir a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato: Esto incluye operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o a un contrato. Un ejemplo de esto sería cuando un banco investiga a sus clientes en una base de datos de referencia de crédito con el fin de decidir si les ofrece un préstamo.

Las autoridades de protección de datos deben establecer, hacer pública y comunicar una lista de las operaciones de tratamiento que requieren una EIPD al Comité Europeo de Protección de Datos (artículo 35, apartado 4 del RGPD). Asimismo, las autoridades de control podrán establecer y publicar la lista de los tipos de tratamiento que no requieren EIPD, comunicando dicho listado al Comité (artículo 35, apartado 5 del RGPD).

¿En qué momento debe elaborarse una EIPD y quién debe elaborarla?

La EIPD deberá elaborarse antes del tratamiento de los datos y podrá abordar en una sola EIPD distintas series de operaciones de tratamiento, siempre y cuando sean similares y entrañen riesgos altos de similar naturaleza (por ejemplo, en caso de que autoridades u organismos públicos prevean crear una aplicación o plataforma común de tratamiento, o si varios responsables proyectan introducir una aplicación o un entorno de tratamiento común en un sector o segmento empresarial o para una actividad horizontal de uso generalizado).

En este sentido, la EIPD deberá elaborarse tan pronto como sea prácticamente posible en el diseño de la operación de tratamiento, inclusive si algunas de las operaciones de tratamiento son desconocidas.

Actualizar la EIPD durante el ciclo de vida del proyecto es importante para asegurarse de que la protección de datos y la privacidad de las personas es considerada dentro de la creación de soluciones tecnológicas y en el diseño de otro tipo de actividades que conlleven un riesgo alto.

El RGPD es flexible en cuanto a la estructura y forma precisa de una EIPD. En cualquier caso, una EIPD debe traducirse en un ejercicio genuino de evaluación de riesgos, permitiendo a los responsables adoptar medidas para tratarlos.

Al respecto, el RGPD no establece de manera específica quién debe elaborar la EIPD, señalando expresamente que su elaboración está a cargo del responsable, quién podrá delegar dicha función a alguien más dentro o fuera de la organización.

El responsable podrá buscar la asesoría del Data Protection Officer (comúnmente traducido como Delegado de Protección de Datos u Oficial de Protección de Datos), cuando éste sea designado en la organización, documentando en la EIPD tanto la asesoría o consejo como las decisiones adoptadas por el responsable; sin embargo, el responsable tendrá la responsabilidad última de llevar a cabo esta tarea.

Finalmente, bajo la enorme influencia del RGPD en el mundo, la obligación de elaborar una EIPD se ha extendido a otros sistemas jurídicos para ser reconocida con alcances similares en diversos ordenamientos de protección de datos, en cuanto a su naturaleza y función. Próximamente dedicaremos una aportación a revisar algunas de las legislaciones que han incluido esta figura especialmente en Latinoamérica.

[1] Actualmente, Comité Europeo de Protección de Datos. Véase: https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_es  

Referencias

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Disponible en el vínculo electrónico: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32016R0679 (consultado el 07 de junio de 2022).

Grupo de Trabajo del Artículo 29 (abril 2017), Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 (Versión revisada y adoptada el 04 de octubre de 2017). Disponibles en el vínculo electrónico: https://ec.europa.eu/newsroom/article29/items/611236/en (consultado el 07 de junio de 2022).