Contacto
Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable debe hacer antes una evaluación del impacto en la protección de datos (EIPD).
El artículo 35.3 del RGPD establece que, entre otros supuestos, hay que hacer una evaluación de impacto relativa a la protección de datos en los siguientes supuestos:
“a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como la elaboración de perfiles, sobre la base de la cual se toman decisiones que producen efectos jurídicos para las personas físicas o que las afectan significativamente de manera similar.
b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
c) Observación sistemática a gran escala de una zona de acceso público.”
Para determinar qué debe entenderse por "gran escala" se puede tener en cuenta que el Grupo del artículo 29, en su dictamen sobre la designación de delegados de protección de datos, considera que para valorar si el tratamiento se hace a gran escala se debe tener en cuenta el siguiente:
- El número de personas afectadas, ya sea en términos absolutos o como proporción de una determinada población.
- El volumen y la variedad de datos tratados.
- La duración o permanencia de la actividad de tratamiento.
- La extensión geográfica de la actividad de tratamiento.
El artículo 35.4 del RGPD prevé que las autoridades de control deben publicar una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos. Esta Autoridad considera que se debe realizar una evaluación del impacto relativa a la protección de datos en los tratamientos incluidos en la siguiente lista.
Esta lista recoge las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento conlleva probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679, adoptadas por el Grupo de Trabajo del Artículo 29 el 4 de abril de 2017 (en adelante, WP 248) y asumidas por el Comité Europeo de Protección de datos en su reunión de 25 de mayo de 2018.
Esta lista no es exhaustiva y se irá actualizando. Si una operación de tratamiento no figura no significa que no se requiera hacer una EIPD. Debe verificarse siempre que el tratamiento no supone un alto riesgo para los derechos y libertades de las personas, especialmente si se utiliza nuevas tecnologías.
Estos criterios son de aplicación no sólo a los responsables que quieran llevar a cabo alguno de los tratamientos incluidos, sino también a los órganos e instituciones que elaboren un proyecto de disposición normativa que conlleve alguno de estos tratamientos. En este caso, si el proyecto normativo se ha sometido a una evaluación de impacto relativa a la protección de datos no será necesario que lo elaboren después los responsables del tratamiento.
Una vez realizada la EIPD, el responsable debe formular, con carácter previo al inicio del tratamiento, una consulta a esta Autoridad salvo que la existencia de alto riesgo para los derechos y libertades de las personas se haya podido mitigar con la adopción de medidas técnicas y organizativas adecuadas.
Destacados
- Listado de tipos de tratamientos sometidos a EIPD
- Guia práctica para elaborar una EIPD
- Directrices del Grupo de trabajo del artículo 29 sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento comporta probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679 (WP 248)
- Plantilla para elaborar una EIPD