¿Estoy obligado a hacer la EIPD según el RGPD?

Definimos en este artículo la obligación del Responsable del Tratamiento de Evaluar el Impacto de las actividades de tratamiento en la Protección de los Datos personales cuando sea probable que el mismo suponga un riesgo significativo para los derechos y libertades de las personas.

La Evaluación del Impacto en la Protección de Datos Personales o EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

El artículo 35 del RGPD 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento. Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad.

¿Quienes están obligados?

El apartado 3º del art. 35 RGPD establece la obligación de esta EIPD en particular en los siguientes casos:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar (Ej: hipotecas, redes sociales de contactos, etc).
• Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 - datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física - o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 – relativo a la ilicitud del tratamiento -
• Observación sistemática a gran escala de una zona de acceso público (ej. Aeropuertos, centros comerciales, etc). Para valorar si un tratamiento se realiza a gran escala debe tenerse en:
  • El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
  • El volumen de datos y la variedad de datos tratados
  • La duración o permanencia de la actividad de tratamiento
  • La extensión geográfica de la actividad de tratamiento

¿Qué debe incluir como mínimo (art. 35.7 RGPD)?

• Una descripción sistemática de la actividad de tratamiento previstas
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
• Una evaluación de los riesgos
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

La reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos hacia un modelo más dinámico, adaptado a la profunda transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento. Adicionalmente, el RGPD refuerza el principio de responsabilidad proactiva de quienes tratan datos personales, lo que requiere que estos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de tratamientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir con lo dispuesto en el RGPD

Para más información, les remitimos a la Autoridad de control (Agencia de Protección de Datos) que ha publicado una guía para la realización de la evaluación de impacto con la metodología para su realización, modelos o plantillas en anexos así como un catálogo de amenazas que les recomendamos consultar y posibles soluciones: https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf