Evaluación de Impacto (EIPD)
Los responsables de tratamiento deberán realizar una evaluación de impacto sobre la protección de datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
El Reglamento General de Protección de Datos (RGPD) establece un contenido mínimo de las evaluaciones de impacto sobre la protección de datos, aunque no contempla ninguna metodología específica para su realización.
¿Cuándo es necesario realizar una EIPD?
Cuando el análisis de riesgo que las organizaciones lleven a cabo sobre los tratamientos de datos de carácter personal indique que, dichos tratamientos presentan alto riesgo para los derechos y libertades de los interesados, los responsables deberán realizar una EIPD sobre esos tratamientos, a fin de estar en condiciones de poder adoptar las medidas adecuadas para adecuar esos tratamientos a las exigencias del RGPD.
En los casos en que la EIPD haya identificado un alto riesgo que, a juicio del responsable del tratamiento, no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente. La consulta debe ir acompañada de la documentación que prevé el RGPD, incluyendo la propia evaluación de impacto, y la autoridad de supervisión puede emitir recomendaciones o ejercer cualquier otro de los poderes que el RGPD la confiere, entre ellos el de prohibir la operación de tratamiento.
La evaluación de impacto se requerirá en particular en el caso de:
Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar
Tratamiento a gran escala de datos sensibles
Observación sistemática a gran escala de una zona de acceso público
Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta: el número de interesados afectados, el volumen de datos y la variedad de datos tratados, la duración o permanencia de la actividad de tratamiento, la extensión geográfica de la actividad de tratamiento. Puede ser necesario llevar a cabo una nueva evaluación cuando cambien las condiciones del tratamiento o cuando varíen los riesgos asociados al mismo.
La Agencia Española de Protección de Datos (AEPD) ha publicado una lista de tratamientos de datos de carácter personal en las que es necesario la realización de una EIPD
- Tratamientos que impliquen perfilado o valoración de sujetos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
- Tratamientos que impliquen el uso de categorías especiales de datos, datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
- Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
- Tratamientos que impliquen el uso de datos a gran escala.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas con riesgo para los derechos y libertades de las personas.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
Área Digital Abogados cuenta con un equipo de especialistas que se encarga de elaborar la Evaluación de Impacto relativa al tratamiento de datos de carácter personal independientemente de la estructura de la organización que lo solicite. Cualquier empresa que trate datos de carácter personal con las características descritas anteriormente estará sujeto a la realización de una EIPD y al cumplimiento de las medidas contempladas en este.
Contáctanos.
¿Necesitas asesoramiento legal de confianza?
Nuestro equipo de abogados está aquí para ti. Contáctanos hoy mismo para una consulta personalizada y valoraremos tu caso.