Somos muchos los/las profesionales que en nuestro día a día trasladamos a la organización la necesidad de realizar una evaluación de impacto relativa a la protección de datos “EIPD”, en relación con determinadas actividades de tratamiento; pero, en innumerables ocasiones, nos encontramos con el reto de dar respuesta a una pregunta que suele repetirse ante estas situaciones ¿qué es “eso” de una EIPD?
Para dar respuesta a esta cuestión, lo primero que debemos saber es que el Reglamento General de Protección de datos (RGPD) no define este término, por lo que no existe una única definición válida para dicho concepto.
Así, si acudimos a la interpretación del término que realiza el GT29, esté lo define como “un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos”.
En definitiva, se trata de una herramienta que permite a la organización conocer en profundidad el contexto de la actividad de tratamiento objeto de evaluación, así como valorar y disminuir todos los riesgos asociados a ella.
Teniendo en consideración lo anterior, puede parecer que la realización de una EIPD es algo que habría que hacer para todas las actividades de tratamiento que realiza una organización; sin embargo, para determinar esta cuestión es preciso llevar a cabo un análisis previo en el que se determine si procede su realización o no.
¿Cuándo es necesario realizar una EIPD?
Para determinar en qué supuestos procede una EIPD, deberemos atender, entre otros criterios, a lo dispuesto en el art. 35.1 del RGPD, que establece que será necesario realizar una EIPD en aquellos casos en los que sea probable que una actividad de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.
De esta afirmación, se podría concluir que casi siempre será necesario realizar una EIPD y es por ello, que también se deberá prestar especial atención al apartado 3º de este artículo en el que el RGPD proporciona un listado de casos en los que la realización de la EIPD es obligatoria:
- Cuando se esté realizando una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. Un ejemplo, se puede encontrar en la investigación de solvencia que puede realizar una institución financiera sobre un potencial cliente en una base de datos de referencias de crédito, de cara a determinar si le conceden un préstamo.
- En aquellos casos en los que se produzca un tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.
- Cuando se produzca una observación sistemática a gran escala de una zona de acceso público, como puede suceder a través de la instalación de un sistema de videovigilancia.
No obstante lo anterior, recordemos que se deberá realizar un análisis previo completo, referido no solo a los supuestos en los que es obligatorio realizar una EIPD, sino que valorará también todas aquellas características que propone el GT29 en el procedimiento que plantea para esta finalidad.
En nuestro próximo post ¿Qué es una evaluación de impacto y cuándo hay que hacerla? (II) analizaremos este procedimiento junto con sus características, así como unas cuestiones adicionales que se deben tener en consideración.
Si quieres profundizar en el tratamiento de datos a gran escala, consulta nuestro anterior post aquí.
Si no quieres perderte ninguno de nuestros artículos, suscríbete ya a nuestra newsletter semanal.