Contacto
El Reglamento establece que se hará cuando sea probable que un tratamiento suponga un alto riesgo para las personas. No describe qué es un alto riesgo, pero señala que se tendrán en cuenta aspectos tales como el uso de nuevas tecnologías, así como la naturaleza, el alcance, el contexto y la finalidad del tratamiento.
En particular, el Reglamento exige que se haga una EIPD en los siguientes tres casos:
- Evaluación sistemática de aspectos personales basada en un tratamiento automatizado, sobre la que se toman decisiones que afectan significativamente a las personas.
- Tratamiento a gran escala de datos de categorías especiales o datos relativos a infracciones o condenas penales.
- Observación sistemática a gran escala de una zona de acceso público.
Aparte, exige que cada autoridad de protección de datos publique una lista de los tratamientos que requieren una EIPD. En el caso de la Autoridad Catalana de Protección de Datos, esta lista se puede consultar aquí. Para las organizaciones bajo el ámbito de competencia de la autoridad española, la lista se puede consultar aquí
También puede ser necesario hacer una evaluación de impacto como resultado de las garantías extra que exige el Reglamento para los tratamientos con finalidad de archivo en interés público, estadística o investigación científica o histórica, si así lo determina la legislación del Estado miembro (la LOPDGDD, en nuestro caso).
Por el contrario, el Reglamento exime de hacer una evaluación de impacto en los tratamientos basados en una obligación legal o en el interés público, cuando hay una ley del Estado miembro o de la Unión que lo regula y la evaluación de impacto se ha llevado a cabo en el proceso de aprobación de dicha ley.
En caso de duda, se recomendará hacer la evaluación de impacto, sobre todo en los tratamientos más complejos.
El RGPD establece el contenido mínimo que tendrá una evaluación de impacto:
- Descripción sistemática de las operaciones y las finalidades del tratamiento.
-
Evaluación de la necesidad y de la proporcionalidad de las operaciones en relación con su finalidad.
-
Evaluación de los riesgos para los derechos y las libertades de los interesados.
-
Las medidas propuestas para mitigar los riesgos.
Salvo este contenido mínimo, el Reglamento no da más información sobre cómo debe estructurarse una evaluación de impacto ni de cómo debe cumplirse este contenido mínimo. Por ese motivo se han propuesto descripciones más detalladas del contenido e incluso modelos concretos de evaluación de impacto.
En relación con la manera de cumplir con el contenido mínimo de una evaluación de impacto, hay que destacar el detalle del anexo 2 del documento “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679” del grupo de trabajo del artículo 29. Este anexo describe detalladamente los aspectos que debe tratar una evaluación de impacto para ser aceptable.
Para facilitar la tarea a los analistas, se han propuesto diferentes modelos que estructuran las evaluaciones de impacto y cumplen con los contenidos mínimos mencionados anteriormente. Entre estos modelos está el que ha propuesto la Autoridad, que cuenta con un manual, un modelo para completar e incluso con una aplicación que facilita todavía más la tarea.
En general, la evaluación de impacto no se comunicará a la Autoridad. El responsable del tratamiento la guardará, por si la Autoridad se la requiere.
En cambio, en el contexto de una consulta previa sí que debe comunicarla a la Autoridad. Es decir, cuando la evaluación de impacto ha detectado un riesgo significativo que no se ha podido mitigar adecuadamente y se consulta a la Autoridad sobre la conveniencia del tratamiento, antes de iniciarlo.