Contacto
Cuando un tratamiento, por su naturaleza, alcance, contexto o finalidades, suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, la entidad responsable del tratamiento debe realizar antes una evaluación del impacto en la protección de datos (AIPD).
El RGPD establece que, entre otros supuestos, es necesario realizar una evaluación de impacto relativa a la protección de datos en los siguientes:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como la elaboración de perfiles, sobre cuya base se toman decisiones que producen efectos jurídicos para las personas físicas o que les afectan significativamente de forma similar.
- Tratamiento a gran escala de las categorías especiales de datos o datos personales relativos a condenas e infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público.
Para determinar qué debe entenderse por “gran escala”, se puede tener en cuenta lo que determina el Grupo del artículo 29, en las Directrices sobre la designación de delegados de protección de datos. Así, considera que para valorar si el tratamiento se realiza a gran escala se debe tener en cuenta lo siguiente:
- El número de personas afectadas, ya sea en términos absolutos o como proporción de determinada población.
- El volumen y variedad de datos tratados.
- La duración o permanencia de la actividad de tratamiento.
- La extensión geográfica de la actividad de tratamiento.
El RGPD prevé que las autoridades de control deben publicar una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos. La APDCAT considera que es necesario realizar una evaluación del impacto relativa a la protección de datos en los tratamientos incluidos en la siguiente lista. Esta lista no es exhaustiva y se irá actualizando. Si una operación de tratamiento no figura en ella, no significa que no se requiera realizar la AIPD. Es necesario verificar siempre que el tratamiento no supone un alto riesgo para los derechos y libertades de las personas, especialmente si se utilizan nuevas tecnologías.
Estos criterios son de aplicación no solo a las entidades responsables que deseen llevar a cabo alguno de los tratamientos incluidos, sino también a los órganos e instituciones que elaboren un proyecto de disposición normativa que comporte alguno de estos tratamientos. En este caso, si el proyecto normativo se ha sometido a una evaluación de impacto relativa a la protección de datos, no será necesario que las entidades responsables del tratamiento lo elaboren después.
Consulta previa
Si de la evaluación de impacto sobre la protección de datos resulta que el tratamiento previsto puede infringir el RGPD, en particular cuando la entidad responsable no ha identificado o mitigado suficientemente el riesgo, esta debe realizar una consulta a la autoridad de control de protección de datos competente, como la APDCAT. La consulta debe ir acompañada de la documentación prevista en el RGPD, incluida la misma evaluación de impacto.
La autoridad de control debe asesorar por escrito a la entidad responsable y, en su caso, a la encargada del tratamiento, y puede hacer uso de todos los poderes que le confiere el Reglamento, entre ellos el de prohibir la operación de tratamiento.
Destacados
- Listado de tipos de tratamientos sometidos a EIPD
- Guia práctica para elaborar una EIPD
- Directrices del Grupo de trabajo del artículo 29 sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento comporta probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679 (WP 248)
- Plantilla para elaborar una EIPD