En este artículo vamos a ver qué es una Evaluación de Impacto y Cuándo hay que realizarla.
¿QUÉ ES UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS?
Una Evaluación de Impacto tal y como nos indica la AEPD es “un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
CÓMO REALIZAR UNA EIP
El objetivo de realizar esta EIP es determinar y analizar los diferentes tratamientos de datos que gestionamos desde nuestra entidad para evitar situaciones no deseadas.
Analizaremos:
1. Si se trata de un tratamiento que ya se está llevando a cabo
2. Si se trata de un tratamiento que se prevé llevar a cabo en un futuro
Una vez que tengamos esto claro procederemos a hacer nuestro análisis:
Primer análisis: estudiaremos si el tratamiento está incluido en una de las listas de actividades de tratamiento publicadas por la AEPD
Segundo análisis: estudiaremos si el tratamiento está incluido en alguno de los casos previstos por el Reglamento General de Protección de Datos en los que es obligatorio realizar una EIPD, es decir, si se trata de:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público.
Tercer análisis: estudiaremos si se dan, de las circunstancias siguientes, al menos dos de estas situaciones:
- Evaluación o puntuación: incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado». Algunos ejemplos de esto podrán incluir a una institución financiera que investigue a sus clientes en una base de datos de referencia de crédito o en una base de datos contra el blanqueo de capitales y la financiación del terrorismo o sobre fraudes, o a una empresa de biotecnología que ofrezca pruebas genéticas directamente a los consumidores para evaluar y predecir los riesgos de enfermedad/salud, o a una empresa que elabore perfiles de comportamiento o de mercadotecnia basados en el uso o navegación en su sitio web.
- Toma de decisiones automatizada con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar». Por ejemplo, el tratamiento puede provocar exclusión o discriminación contra las personas. El tratamiento con poco o ningún efecto sobre las personas no coincide con este criterio específico.
- Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática de una zona de acceso público». Este tipo de observación representa un criterio porque los datos personales pueden ser recogidos en circunstancias en las que los interesados pueden no ser conscientes de quién está recopilando sus datos y cómo se usarán. Además, puede resultar imposible para las personas evitar ser objeto de este tipo de tratamiento en espacios públicos (o espacios de acceso público).
- Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales, así como datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas. Un ejemplo sería un hospital general que guarda historiales médicos de pacientes o un investigador privado que guarda datos de delincuentes. Más allá de estas disposiciones del RGPD, puede considerarse que algunas categorías de datos aumentan el posible riesgo para los derechos y libertades de las personas. Estos datos personales se consideran sensibles (dado que este término es de uso común) porque están vinculados a hogares y actividades privadas (como comunicaciones electrónicas cuya confidencialidad debe ser protegida), porque afectan al ejercicio de un derecho fundamental (como datos de localización cuya recogida compromete la libertad de circulación) o porque su violación implica claramente graves repercusiones en la vida cotidiana del interesado (como datos financieros que podrían usarse para cometer fraude en los pagos). En este sentido, puede resultar relevante que los datos ya se hayan hecho públicos por el interesado o por terceras personas. El hecho de que los datos personales sean de acceso público puede considerarse un factor en la evaluación si estaba previsto que estos se usaran para ciertos fines. Este criterio también puede incluir datos tales como documentos personales, correos electrónicos, diarios, notas de lectores de libros electrónicos equipados con opciones para tomar notas e información muy personal incluida en aplicaciones de registro de actividades vitales.
- Tratamiento de datos a gran escala: el RGPD no define qué se entiende por gran escala. En cualquier caso, el GT29 (actual CEPD) recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala: (i) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente; (ii) el volumen de datos o la variedad de elementos de datos distintos que se procesan; (iii) la duración, o permanencia, de la actividad de tratamiento de datos; (iv) el alcance geográfico de la actividad de tratamiento.
- Asociación o combinación de conjuntos de datos: por ejemplo procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado.
- Datos relativos a interesados vulnerables: el tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos. Entre los interesados vulnerables puede incluirse a niños (se considera que no son capaces de denegar o autorizar consciente y responsablemente el tratamiento de sus datos), empleados, segmentos más vulnerables de la población que necesitan una especial protección (personas con enfermedades mentales, solicitantes de asilo, personas mayores, pacientes, etc.), y cualquier caso en el que se pueda identificar un desequilibrio en la relación entre la posición del interesado y el responsable del tratamiento.
- Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas: como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. Esto es debido a que el uso de dicha tecnología puede implicar nuevas formas de recogida y utilización de datos, posiblemente con un alto riesgo para los derechos y libertades de las personas. De hecho, las consecuencias personales y sociales del despliegue de una nueva tecnología pueden ser desconocidas. Por ejemplo, algunas aplicaciones del «Internet de las cosas» podrían tener un impacto significativo sobre la vida diaria y la privacidad de las personas y, por tanto, requieren una EIPD.
- Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato»: esto incluye operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o a un contrato. Un ejemplo de esto sería cuando un banco investiga a sus clientes en una base de datos de referencia de crédito con el fin de decidir si les ofrece un préstamo.
Conclusión: Una vez hecho este análisis veremos qué conclusión hemos obtenido:
- No requiere EIPD, pues se considera que el tratamiento no implica un alto riesgo para los derechos y las libertades de los interesados.
- No requiere EIPD, pues es un tratamiento que ya se está llevado a cabo.
- Se requiere EIPD, pues es un tratamiento que se va a llevar a cabo y se considera que es probable que exista un alto riesgo para los derechos y las libertades de los interesados.
- Se requiere EIPD, pues aunque es un tratamiento que ya se está llevando a cabo, se considera que se han producido cambios en los riesgos en relación al momento en el que el tratamiento se puso en marcha.
Justificación: para finalizar justificaremos esta conclusión que hemos obtenido tras este análisis.
¿CUÁL ES LA FINALIDAD DE UNA EVALUACIÓN DE IMPACTO (EIP)?
La finalidad de este tratamiento, hablando en un lenguaje claro y sencillo es poner una tirita antes de que salga la herida, es decir, adelantarnos a cualquier problema que nos podamos encontrar para minimizar los riesgos y que podamos tomar las medidas adecuadas para reducir los posibles riesgos.
Es importante tener en cuenta que estas EIPD debemos realizarlas antes de iniciar las operaciones de tratamiento.
¿CUÁNDO HAY QUE REALIZAR UNA EVALUACIÓN DE IMPACTO (EIP)?
Aunque no siempre es necesario realizar una EIP, sí es conveniente, siempre y cuando vamos a realizar un nuevo tratamiento de datos realizar los análisis que hemos destacado anteriormente.
No obstante, según la nueva normativa europea, este análisis es obligatorio cuando nos encontramos con alguno de los siguientes supuestos:
- Alto riesgo:
Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas
- Evaluación sistemática:
Cuando, a través de un tratamiento automatizado se evalúan aspectos personales de personas físicas.
- Tratamiento a gran escala de datos especialmente protegidos:
Artículo 9 y artículo 10 del RGPD.
- Uso de tecnologías invasivas:
Videovigilancia a gran escala.
Uso de drones.
Geolocalización.
Técnicas genéticas…
¿ESTÁN TODAS LAS EMPRESAS OBLIGADAS A REALIZAR LA EVALUACIÓN DE IMPACTO (EIP)?
No todas las empresas están obligadas a realizar la EIP, aunque sí es conveniente que se realice para evitar riesgos, no obstante, la normativa de Protección de Datos sí establece un listado de empresas obligadas a realizarlo entre las que nos encontramos:
- Empresas Farmaceúticas
- Hospitales y clínicas
- Seguridad privada, vigilancia y control
- Comercializadoras de energía
- Empresas que realicen e-commerce
- Colegios
¿QUÉ PAPEL REALIZA LA FIGURA DEL DPO EN ESTE PROCESO?
Lo primero que hay que destacar es que el RGP determina que las empresas que están obligadas a realizar la EIPD tienen que contar con la figura del DPO (Delegado de Protección De Datos que será quien realizará todo este estudio generando las conclusiones y justificaciones e implementando las medidas de seguridad pertinentes para evitar riesgos innecesarios.
La AEPD pone a nuestra disposición una guía para una Evaluación de Impacto en la Protección de Datos Personales. Se trata de un documento de gran ayuda para desarrollar una EIPD.
No obstante, para cumplir correctamente con la normativa de protección de datos, como Consultora, DPO y experta en Protección de Datos aconsejo que las empresas se pongan en manos de profesionales que le gestionen la implantación y mantenimiento de su protección de datos, incluyendo los Análisis de Riesgos y las EIP.
CONTRATA AHORA TU PROTECCION DE DATOS Y DESPREOCÚPATE DEJANDO TODO EN NUESTRAS MANOS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO
Artículo publicado por Elisa Campoy Soler
Consultora Experta y Delegada de Protección de Datos en Grupo Altabir