Evaluaciones de Impacto


El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

¿Como se cuándo debo hacer una evaluación de impacto (EIPD)?

El RGPD establece en el artículo 35.2 situaciones en las que la EIPD debe realizarse y son:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o 

c) observación sistemática a gran escala de una zona de acceso público.

Como estos escenarios son amplios, para ayudar a determinar situaciones más concretas en las que esta evaluación de impacto debe realizarse, el RGPD contempla en su artículo 35.4. que “La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos …”.

Dando respuesta a este llamamiento del RGPD, la Agencia Española de Protección de Datos este mes de mayo ha publicado el listado orientativo de los tratamientos que deben realizar Evaluación de Impacto previa al tratamiento y ha definido que será necesario hacer la EIPD en los casos en los que el tratamiento cumpla con dos o más criterios del listado que pasamos a comentar:

1. ELABORACIÓN DE PERFILES: tratamientos que impliquen perfiles o valoración de sujetos. Por ejemplo, empresa de selección de personal que realiza test psicotécnicos a los candidatos y a través de los resultados elabora un perfil. 

2. TOMA DE DECISISONES AUOTMATIZADAS: tratamientos que impliquen dicha toma de decisiones, como por ejemplo puede ser la denegación automática de una solicitud de crédito online.

3. OBSERVACIÓN, MONITORIZACIÓN, SUPERVISIÓN, GEOLOCALIZACIÓN O CONTROL DEL INTERESADO: cualquier tratamiento que implique alguna de estas acciones, como por ejemplo que los dispositivos que lleven los comerciales de una empresa tengan geolocalización como medida de seguridad ante un robo o perdida. 

4. USO CATEGORIAS ESPECIALES DATOS: categorías tipificadas en el artículo 9.1 y 10 del RGPD,  como son los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, y los datos relativos a condenas e infracciones penales. 

5. DATOS BIOMÉTRICOS: son los datos relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como por ejemplo el tratamiento de datos generado a través del control horario, mediante máquinas con identificación a través de la huella dactilar. 

6. DATOS GENÉTICOS: son los datos relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona. 

7. DATOS A GRAN ESCALA: (WP 243 rev.01) no hay una cifra ni un baremo que nos diga qué es gran escala, pero si que hay factores que nos ayudan a saberlo:

a. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
b.  el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; 
c. la duración, o permanencia, de la actividad de tratamiento de datos; 
d. el alcance geográfico de la actividad de tratamiento.

Y, tratamientos que sirven de ejemplo para imaginarse qué es “gran escala”:

  • el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital
  • el tratamiento de datos de desplazamiento de las personas como por ejemplo el seguimiento a través de tarjetas de transporte
  • el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios
  • el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco 
  • el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda
  • el tratamiento de datos por proveedores de servicios de telefonía o internet.

 Y ejemplos que sirven para saber que no es “gran escala”:

  • el tratamiento de datos de pacientes por parte de un solo médico; 
  • el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.

8. COMBINACIÓN REGISTROS DE BBDD CON FINALIDADES O RESPONSABLES DISTINTOS

9. DATOS SUJETOS VULNERABLES: tratamientos de datos de menores de 14 años, sujetos en riesgo de exclusión social, mayores de edad con grado de discapacidad, discapacitados, personas que acceden a servicios sociales, víctimas de violencia de género y sus descendientes y personas que estén bajo su guardia y custodia. 

10. NUEVAS TECNOLOGÍAS O TECNOLOGÍAS CON USO INNOVADOR: uso de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

11. TRATAMIENTOS SIN EJERCICIO DE DERECHOS: por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.