El nuevo Reglamento General de Protección de Datos, recoge una nueva obligación para los responsables de tratamientos de datos personales, que consiste en llevar a cabo una “evaluación de impacto” (EIPD).

¿Qué es la Evaluación de Impacto?

La denominada Evaluación de Impacto de Datos Personales (EIPD) consiste en un análisis de los riesgos que la prestación de un servicio puede suponer para la protección de datos personales de los usuarios.

En función de su resultado, se marcará la forma en que debemos hacernos cargo de esos riesgos, adoptando las medidas que resulten preceptivas para solventarlos, de forma que podamos garantizar que los datos personales de nuestros clientes sean debidamente protegidos.

En otras palabras, se trata de evaluar el impacto en la protección de datos personales respecto a las opciones que pueden adoptarse en relación con un determinado modelo de negocio.

¿Cuándo debe realizarse una EIPD?

La evaluación de impacto deberá practicarse cuando el tratamiento de los datos personales entrañe un riesgo alto para los derechos y libertades de los usuarios.

Siendo más concretos, el artículo 35.3 del RGPD indica que la evaluación de impacto será preceptiva cuando se dé alguno de los siguientes casos que suponen alto riesgo para los derechos de los interesados:

Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

Tratamiento a gran escala de las categorías especiales de datos personales (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos relativos a la vida sexual o la orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales.

Observación sistemática a gran escala de una zona de acceso pública (Ej: Videovigilancia).

 La AEPD ha publicado una lista de supuestos en los cuales es obligatorio realizar una Evaluación de impacto:

  • Los que supongan la elaboración de perfiles y valoraciones de personas incluida la recopilación de datos que se refieran a hábitos o aspectos de la personalidad de ese individuo.
  • Aquellos que conlleven la toma de decisiones automatizadas. Aquí se incluye cualquier decisión que impida al interesado ejercer un derecho, acceder a un servicio o producto o participar en un contrato.
  • Cuando se monitorice, observe, supervise o geolocalice a una persona o se realice cualquier otro tipo de control de forma sistemática. En este caso se incluye la recopilación de datos o metadatos a través de redes, aplicaciones o zonas de acceso público y el uso de servicios web, televisión interactiva o aplicaciones móviles que permitan identificar de forma inequívoca a los usuarios.
  • Si se tratan datos considerados especialmente protegidos, datos referidos a infracciones o condenas penales o datos de solvencia patrimonial o referidos a la situación financiera de una persona.
  • Utilización de datos biométricos para identificar de manera única a una persona.
  • Uso de datos a gran escala. Para determinar si se produce un uso de datos a gran escala deben tenerse en cuenta los criterios establecidos por el Grupo de Trabajo del artículo 29.
  • En caso de que se combinen o asocien registros de bases de datos de dos o más tratamientos por diferentes responsables y con fines diferentes.
  • Si van a tratarse datos de colectivos vulnerables o en riesgo de exclusión social, incluidos los datos de menores de 14 años, discapacitados, víctimas de violencia de género, personas que accedan a servicios sociales y sus descendientes o personas que estén bajo su custodia.
  • Cuando para el tratamiento se utilicen nuevas tecnologías o tecnologías existentes pero de manera innovadora y la recopilación y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.
  • Esta lista no es una lista cerrada ya que, siempre que un tratamiento de datos pueda suponer un riesgo elevado para los derechos y libertades de las personas, será necesario realizar una EIPD

Desde G|R|A CONSULTORES les ofrecemos nuestros servicios para que su empresa u organización cumpla con todas las obligaciones en la normativa de Protección de Datos Personales, evitando cualquier sanción económica. No dude en ponerse en contacto con nosotros para chequear su cumplimiento normativo sin compromiso alguno, quedando a su disposición para ampliar esta información.