Seguimos con el último articulo del Ciclo de artículos hacia la cuenta atrás del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Solo faltan cuatro días para que el esperado 25 de mayo en donde el reglamento pasará a ser de aplicación obligatoria. Así pues, solo falta hablar de las Evaluaciones de Impacto en la Protección de Datos Personales (en adelante, EIPD), la cual se encuentra regulada en el artículo 35. Se trata, pues, de una de las principales novedades que incorpora el nuevo RGPD
>¿Qué es la EIPD?
La evaluación de impacto se trata del análisis de los riesgos que un producto o servicio pueda implicar para la protección de datos de los afectados y, como consecuencia del análisis, la gestión de los derechos mediante la adopción de las medidas necesarias para eliminarlos o minimizarlos.
En definitiva, se trata de una herramienta que permite evaluar de forma anticipada los potenciales riesgos a los que los datos personales se encuentran expuestos según la actividad de tratamiento que se llevan a cabo con los mismos. Así pues, su objetivo es permitir a los responsables del tratamiento tomar las medidas adecuadas en cada momento para reducir los riesgos.
>¿Cómo se aplica?
La evaluación de impacto se realiza previamente a la puesta en marcha de tratamientos que probablemente conlleven altos riesgos para los derechos y libertades de los interesados. Por lo tanto, el primer paso es determinar la necesidad (o no) de un análisis de la evaluación del impacto.
Especialmente se realizan los EIPD en los siguientes casos:
- Si se utilizan nuevas tecnologías invasivas.
- Si hay un alto riesgo para los derechos y libertades, teniendo en cuenta su naturaleza, alcance, contexto o finalidades.
- Elaboración de perfiles sobre la base de los cuales se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de manera similar.
- Tratamiento a gran escala de datos sensibles.
- Observación sistemática a gran escala de una zona de acceso público.
>Alto Riesgo y gran escala
Cuando hacemos referencia a alto riesgo nos referimos a un tratamiento que vaya a significa una gran afectación de los derechos y libertades de las personas físicas. Un ejemplo sería la aplicación de nuevas tecnologías.
Por otra parte, cuando nos referimos a gran escala debemos valorar cuatro aspectos que son:
- El número de interesados afectados en términos absolutos y como proporción de una determinada población.
- El volumen de datos y la variedad de datos tratados.
- La duración o permanencia de la actividad del tratamiento.
- La extensión geográfica de la actividad del tratamiento.
>Requisitos de las Evaluaciones de Impacto
Las Evaluaciones de Impacto deben incluir como mínimo los siguientes aspectos:
- Una descripción sistemática de las operaciones de tratamiento previstas y de las finalidades del tratamiento. Incluyendo, si es necesario, el interés legitimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento, por lo que hace a su finalidad.
- Una evaluación de los riesgos por los derechos y las libertades de los interesados.
- Las medidas previstas para afrontar los riesgos, incluyendo garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y para demostrar la conformidad con dicho Reglamento.
>Proceso de realización del EIPD
Durante el proceso se requerirán un seguido de requisitos que deberán ser llevados a cabo para que el EIPD se presuma como valido. Alguno de ellos sería el hecho que se requerirá el asesoramiento del delegado de protección de datos si hay. Además, también se pedirá consultar a la Autoridad de Control, en caso de que el resultado del IEPD muestre un alto riesgo que el Responsable no pueda o no sepa como mitigar. Y finalmente, cuando el análisis de riesgos sobre un tratamiento de datos iniciado anteriormente a la aplicación del RGPD indique que el tratamiento presenta un alto riesgo, será necesario elaborar una EIPD sobre estos tratamientos.
Finalmente, es necesario mencionar que la AEPD elaborara listas de tratamientos que requieren EIPD. Como también una lista para los que no lo requieran.
>Empresas obligadas a realizar una Evaluación de Impacto
Ya para terminar es necesario mencionar aquellas empresas o entidades que deberán realizar una evaluación de impacto de forma obligatoria y son:
- Farmacéuticas
- Hospitales y clínicas
- Seguridad privada, vigilancia y control
- Comercializadoras de energía
- Empresas que realicen e-commerce
- Colegios