EIPD: Evaluación de Impacto a la Protección de Datos

EIPD: Evaluación de Impacto a la Protección de Datos

 

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y por el que se deroga la Directiva 95/46/CE, en resumen, el Reglamento general de protección de datos (RGPD), incorpora una nueva obligación para los responsables de tratamientos, la de evaluar el impacto que las operaciones de tratamiento de datos personales pueden tener sobre la protección de esos datos, cuando el uso de tecnologías avanzadas, o el volumen de datos tratados, o su especial sensibilidad, puedan poner en riesgo los derechos y libertades de las personas.

 

En el nuevo modelo de cumplimiento de la regulación en materia de protección de datos hay que demostrar el cumplimiento de las obligaciones y las EIPD son parte esencial en un modelo que pretende gestionar responsablemente esas obligaciones, gestionándolas mediante un modelo objetivo, repetible, comparable y documentado.

 

Es por eso que en nuestra metodología establecemos los siguientes hitos en su desarrollo:

 

  1. Análisis de la organización y determinación de la necesidad de realizar una EIPD
  2. Ejecución de la evaluación propiamente dicha:
  • Descripción sistemática de las operaciones de tratamiento y su finalidad
  • Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento
  • Valoración del riesgo: identificación, análisis y evaluación del riesgo para los derechos y libertades
  • Tratamiento del riesgo: medidas previstas para afrontar los riesgos
  • El informe de evaluación de impacto: dimensión interna y pública de la evaluación

 

Nuestra metodología sigue las propuestas normativas del RGPD, la LOPDGDD las indicaciones del Comité Europeo de Protección de Datos (GT art. 29) y las Autoridades de Control Españolas colaborando estrechamente con la figura del DPO y los equipos de trabajo del responsable.

 

La evaluación de impacto relativa a la protección de los datos a que se refiere el RGPD se requerirá en los siguientes casos:

 

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el RGPD

 

Por su parte la LOPDGDD establece que tanto responsable como encargado deberán tener en cuenta los mayores riesgos que podrían producirse en los siguientes supuestos:

 

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

 

Por otra parte, será necesaria cuando se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica.

 

Si necesitas realizar una EIPD ponte en contacto con nosotros y estableceremos de manera personalizada como podemos llevarla a cabo.