¿Qué es una evaluación de impacto de privacidad (evaluación de impacto relativa a la protección de datos)?
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (conocido como Reglamento General de Protección de Datos, GDPR o RGPD) no nos define qué es una evaluación de impacto de privacidad, aunque sí indica cuándo debe realizarse y su contenido mínimo.
Una definición de lo que es una evaluación de impacto de privacidad la tenemos en el documento que recoge las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, adoptadas el 4 de abril de 2017, y revisadas por última vez y adoptadas el 4 de octubre de 2017, del Grupo de “Protección de Datos” del artículo 29.
En el mencionado documento se nos define la evaluación de impacto como un proceso, que se concibe para describir un tratamiento de datos, poder evaluar la necesidad de tal tratamiento además de su proporcionalidad, y que sirve para gestionar los riesgos derivados de ese tratamiento que puedan darse para los derechos y libertades de las personas físicas titulares de datos, y que al gestionar esos riesgos podremos evaluarlos y determinar las medidas para afrontarlos.
En definitiva será un instrumento fundamental, una herramienta con carácter preventivo, que servirá para poder rendir cuentas como responsables del tratamiento; nos permitirá cumplir con la responsabilidad proactiva recogida en el RGPD (cumplir los principios relativos al tratamiento y ser capaz de demostrarlo).
¿Cuándo debe realizarse una evaluación de impacto de privacidad?
Para responder a esta pregunta, debemos acudir al artículo 35 del RGPD, que establece que cuando sea probable que un tipo de tratamiento, en particular, si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, la mencionada evaluación de impacto de las operaciones de tratamiento en la protección de datos personales.
Se permite la posibilidad de que una única evaluación de impacto podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Es decir, una evaluación de impacto puede ser realizada en relación al tratamiento de datos que va a llevarse a cabo por una empresa u organización con un servicio o producto basado en la tecnología, y no tiene que llevarse a cabo en relación a otros tratamientos de datos que lleve a cabo la empresa.
Por su parte, la Agencia Española de Protección de Datos ha publicado una lista de tratamientos de datos que requieren una evaluación de impacto (el documento puede descargarse en el siguiente enlace)
La lista es una lista no exhaustiva, y habrá que realizar la EIPD en el caso de que el tratamiento cumpla con dos o más criterios de los siguientes:
– Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y
comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus
hábitos.
– Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en
gran medida a la toma de tales decisiones.
– Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
– Tratamientos que impliquen el uso de categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual) y de datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
– Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de
manera única a una persona física.
– Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
– Tratamientos que impliquen el uso de datos a gran escala.
– Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
– Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo
datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados,
personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia
– Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de
tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de
recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
– Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un
servicio o ejecutar un contrato.
Lo que va a determinar la obligación de llevar a cabo una EIPD es la posibilidad de que exista un alto riego para los derechos y libertades de las personas físicas.
En el caso de que exista duda, sobre si estamos obligados o no a llevar a cabo una EIPD, conviene realizarla.
¿Cuál debe ser su contenido mínimo?
La EIPD debe contener al menos la siguiente información:
– Una definición detallada y sistemática de las operaciones de tratamiento que se hayan previsto realizar y de las finalidades del tratamiento, inclusive, cuando proceda, el interés legítimo que se persiga.
– Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos en relación con su finalidad.
– Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos.
– Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y que demuestren la conformidad con lo establecido en el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Artículo escrito por ANDONI GARCIA IMAZ – GUIPUZCOA