+ INFORMACIÓN

Logo Eip Nuevo
Eventos EIP Talent Acceso alumnado
  • es_ES
  • en_GB

¡Comparte en redes sociales!

¿Qué es una evaluación de impacto y cuándo hay que hacerla? (II)

por
Evaluación dpo

En el post anterior, analizamos el concepto de Evaluación de Impacto relativa a la protección de datos “EIPD” y los supuestos en los que el RGPD establece la necesidad de realizar este análisis. 

En este sentido, es importante atender a lo dispuesto en el RGPD pero no podemos olvidarnos del hecho de que se trata de una lista no exhaustiva, por lo que también será necesario tener en consideración los criterios proporcionados por el GT29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos.

¿Cuáles son los criterios proporcionados por el GT29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos? 

Vamos a analizarlos a continuación: 

  • Evaluación  o puntuación: se refiere al estudio y análisis del interesado. Un ejemplo lo podemos encontrar en aquellos seguros de salud que regalan a sus asegurados una pulsera de actividad que funciona con una app de la aseguradora y que ofrece recompensas o mejoras en la prima en función de la actividad del sujeto. 
  • Toma de decisiones automatizadas con efecto jurídico significativo o similar. Se basa en el tratamiento de los datos personales de forma automatizada (por ejemplo a través de un algoritmo)  la cual produce efectos jurídicos sobre el individuo. 
  • Vigilancia o monitorización sistemática: implica la observación, supervisión o control de los individuos, incluyendo aquí el control sistemático de una zona accesible al público. Esto sucede con aquellas compañías que tienen tecnologías de geolocalización y monitorizan al individuo. 
  • Datos sensibles o datos muy personales. Es decir, aquellos casos en los que se vayan a tratar categorías especiales de datos y/o datos relacionados con condenas e infracciones penales. 
  • Tratamiento de datos a gran escala. Esta condición también la incluye directamente el RGPD, por lo que ya lo abordamos en el artículo anterior. 
  • Asociación o combinación de conjuntos de datos. Se refiere a la vinculación de los datos de dos o más actividades de tratamiento realizadas para distintos fines o por distintos responsables del tratamiento. Un ejemplo, lo podemos encontrar en empresas del mismo sector, que por motivos estratégicos deciden combinar sus bases de datos. 
  • Datos relativos a interesados vulnerables. En estos casos, es muy sencillo determinar esta cuestión cuando hablamos de menores ya que esto es fácilmente identificable, pero no debemos perder el foco en el hecho de que hay que tener en consideración el desequilibrio de poder que existe entre el individuo y el responsable, como puede suceder en el ámbito laboral. 
  • Uso innovador o aplicación de soluciones tecnológicas u organizativas. Un ejemplo puede ser la utilización de tecnologías de reconocimiento facial. 
  • Cuando el propio tratamiento impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contrato, como puede suceder cuando los datos han sido recopilados por un responsable que es distinto al que los va a tratar y sobre estos exista una obligación de secreto profesional. 

Una vez analizados estos criterios, no podemos olvidarnos de dos cuestiones importantes de cara a determinar esta cuestión, ya que las Autoridades de Control tienen la obligación de crear listas con los tipos de operaciones de tratamiento que si requieren una EIPD. ¿Y en que se traduce esto? En el hecho de que además de revisar las legislación nacional aplicable, en el caso de España la LOPDGDD 3/2018, también deberemos consultar los listados publicados por las distintas Autoridades. 

¿Cuántos de estos criterios deben materializarse para poder determinar que si procede realizar una EIPD


Después de conocer los criterios a tener en consideración, te estarás preguntando cuántos de estos deben materializarse para determinar si se debe realizar una EIPD. En este sentido, el GT29 considera que cuantos más criterios se cumplan, mayores serán las probabilidades de que entrañe un alto riesgo para los derechos y libertades de los interesados, por lo que te animo a analizar todos y cada uno de ellos, así como a revisar los listados de las distintas Autoridades para poder determinar esta cuestión.

 

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainjobs Internacional Educativa y Tecnológica S.A.U
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Deja un comentario

Miembros de 

Consejo Latinoamericano Escuelas Admisión Logo
Logo Escuela De Negocios
Euphe 1
Euphe 2

Reconocimientos

Qs Rating Horizontal 0
Qs Rating Horizontal 4
Qs Rating Horizontal 1
Qs Rating Horizontal 2
Qs Rating Horizontal 3
Cualificam Logo Footer

Partners educativos

Harvard Negativo (1)
Microsoft Academy (1)
Aws Academy Logo Footer
Cisco Networking Academy Blanco
Wca Logo
Logo Ausape
Logo Cumplen Asociacion Profesionales Blanco
Logo Aeca Footer
Buildingsmart Rgb Spain Chapter Member V2
Sage50 Cloud Logo Footer
Pmp Logo Footer
Global Suite Logo Blanco
Minsoit Sap Svg
Nominasol Logo Footer
Cype Logotipo
Pvsyst Logo
Logo Capman Footer
Toeic Logo Blanco
Python Institute Logo Blanco
Its Logo Blanco
Insignia Ccsp
Cdpp
Cpcc
Aviso Legal Uso de Cookies Política de Privacidad Política de Calidad Canal de denuncias Condiciones de Matrícula Únete a nosotros

EIP Campus Universitario Teatinos - Málaga - España

© EIP | International Business School 2010-2024

Marca registrada en la OEPM. Nº 3.735.191