¿Qué es una evaluación de impacto y cuándo hay que hacerla? (II)

En el post anterior, analizamos el concepto de Evaluación de Impacto relativa a la protección de datos “EIPD” y los supuestos en los que el RGPD establece la necesidad de realizar este análisis. 

En este sentido, es importante atender a lo dispuesto en el RGPD pero no podemos olvidarnos del hecho de que se trata de una lista no exhaustiva, por lo que también será necesario tener en consideración los criterios proporcionados por el GT29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos.

¿Cuáles son los criterios proporcionados por el GT29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos? 

Vamos a analizarlos a continuación: 

  • Evaluación  o puntuación: se refiere al estudio y análisis del interesado. Un ejemplo lo podemos encontrar en aquellos seguros de salud que regalan a sus asegurados una pulsera de actividad que funciona con una app de la aseguradora y que ofrece recompensas o mejoras en la prima en función de la actividad del sujeto. 
  • Toma de decisiones automatizadas con efecto jurídico significativo o similar. Se basa en el tratamiento de los datos personales de forma automatizada (por ejemplo a través de un algoritmo)  la cual produce efectos jurídicos sobre el individuo. 
  • Vigilancia o monitorización sistemática: implica la observación, supervisión o control de los individuos, incluyendo aquí el control sistemático de una zona accesible al público. Esto sucede con aquellas compañías que tienen tecnologías de geolocalización y monitorizan al individuo. 
  • Datos sensibles o datos muy personales. Es decir, aquellos casos en los que se vayan a tratar categorías especiales de datos y/o datos relacionados con condenas e infracciones penales. 
  • Tratamiento de datos a gran escala. Esta condición también la incluye directamente el RGPD, por lo que ya lo abordamos en el artículo anterior. 
  • Asociación o combinación de conjuntos de datos. Se refiere a la vinculación de los datos de dos o más actividades de tratamiento realizadas para distintos fines o por distintos responsables del tratamiento. Un ejemplo, lo podemos encontrar en empresas del mismo sector, que por motivos estratégicos deciden combinar sus bases de datos. 
  • Datos relativos a interesados vulnerables. En estos casos, es muy sencillo determinar esta cuestión cuando hablamos de menores ya que esto es fácilmente identificable, pero no debemos perder el foco en el hecho de que hay que tener en consideración el desequilibrio de poder que existe entre el individuo y el responsable, como puede suceder en el ámbito laboral. 
  • Uso innovador o aplicación de soluciones tecnológicas u organizativas. Un ejemplo puede ser la utilización de tecnologías de reconocimiento facial. 
  • Cuando el propio tratamiento impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contrato, como puede suceder cuando los datos han sido recopilados por un responsable que es distinto al que los va a tratar y sobre estos exista una obligación de secreto profesional. 

Una vez analizados estos criterios, no podemos olvidarnos de dos cuestiones importantes de cara a determinar esta cuestión, ya que las Autoridades de Control tienen la obligación de crear listas con los tipos de operaciones de tratamiento que si requieren una EIPD. ¿Y en que se traduce esto? En el hecho de que además de revisar las legislación nacional aplicable, en el caso de España la LOPDGDD 3/2018, también deberemos consultar los listados publicados por las distintas Autoridades. 

¿Cuántos de estos criterios deben materializarse para poder determinar que si procede realizar una EIPD


Después de conocer los criterios a tener en consideración, te estarás preguntando cuántos de estos deben materializarse para determinar si se debe realizar una EIPD. En este sentido, el GT29 considera que cuantos más criterios se cumplan, mayores serán las probabilidades de que entrañe un alto riesgo para los derechos y libertades de los interesados, por lo que te animo a analizar todos y cada uno de ellos, así como a revisar los listados de las distintas Autoridades para poder determinar esta cuestión.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Deja un comentario

¡Comparte en redes sociales!