Las evaluaciones de impacto en el nuevo reglamento de protección de datos
9, abril 2018
Uno de los aspectos más novedosos de la nueva normativa europea que va a tener importante incidencia en las empresas es la necesidad de realizar evaluaciones de impacto.
¿Y eso para qué sirve? Para analizar los posibles riesgos cuando se vayan a realizar tratamientos de datos que sea probable que conlleven un alto riesgo para los interesados y tenerlos en cuenta.
¿Por qué hay que hacerlas? Las evaluaciones de impacto son una medida importante de protección de datos desde el diseño y por defecto que acreditan la responsabilidad proactiva de la organización.
Dicha EIPD se puede realizar, siempre con carácter previo al tratamiento, bien por cada tratamiento o bien una única para varios tratamientos y para un conjunto de información con datos personales, y lo que pretende es evaluar el origen, la naturaleza, la particularidad y la gravedad del riesgo de esos tratamientos.
¿Cuándo hay que hacer evaluaciones de impacto? Siempre que se vaya a hacer o modificar un tratamiento de datos hay que valorar si es necesario realizar previamente una evaluación de impacto.
La realización de EIPD no es obligatoria en todo caso. Se deberá realizar obligatoriamente cuando se vayan a realizar tratamientos de datos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados, especialmente si para ello se usan nuevas tecnologías (en ese caso, si va a haber un encargado del tratamiento involucrado, por ejemplo porque haya desarrollado un software específico, se puede acordar con él la realización de la EIPD por su parte).
Algunos ejemplos en los que sí es obligatoria la evaluación de impacto
(1) Que se vayan a tomar decisiones automatizadas (es decir mediante aplicaciones o programas informáticos) para la evaluación sistemática y exhaustiva de aspectos personales de personas físicas con efectos jurídicos o que les afecten significativamente porque tengan efectos excluyentes o discriminatorios.
Por ejemplo,evaluación, puntuación o predicción, incluida la elaboración de perfiles, de aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad en cuanto a la contratación de algún producto o servicio o el comportamiento, la situación o los movimientos del interesado:
- Entidades financieras que, para conceder crédito investiguen a sus clientes en bases de datos de referencia de crédito, morosidad, blanqueo de capitales …
- Empresa de biotecnología que ofrezca pruebas genéticas directamente a los consumidores para evaluar y predecir los riesgos de enfermedad/salud, mejora de rendimiento deportivo …
- Empresas que elaboren perfiles de comportamiento o de publicidad basados en preferencias o intereses derivados de la navegación por internet.
- Empresa que mediante software evalúa conductas o comportamientos de rendimiento en el trabajo (absentismo, productividad, eficiencia, desempeño, formación, gasto de materiales, nº de piezas fabricadas …) y tome decisiones que afecten significativamente al trabajador (despidos, cambios de puesto …)
- Localización o monitorización de movimientos por satélite de clientes actuales o potenciales, trabajadores … control de flotas, aplicaciones de monitorización de actividad deportiva …
(2) En caso de tratamientos a gran escala de categorías especiales de datos (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, datos de salud, vida sexual u orientación sexual) o a condenas e infracciones penales o medidas de seguridad conexas.
El concepto de “gran escala” se evalúa valorando cuestiones como:
- El nº de interesados afectados (bien como cifra concreta en bruto o como proporción de población correspondiente)
- El volumen de los datos o la variedad de éstos que se tratan
- La duración o permanencia del tratamiento
- El alcance geográfico del tratamiento
(3) En caso de observación sistemática a gran escala de una zona de acceso público. Ejemplos: Centros comerciales, estaciones de medios de transporte, Administraciones Públicas.
Es aconsejable (pero no obligatorio) realizar la evaluación de impacto en los siguientes casos.
- En caso de combinación de conjuntos de datos, por ejemplo procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado.
- En caso de tratamiento de datos de personas vulnerables, ya que en ese caso puede existir un desequilibrio de poder entre los interesados y el responsable del tratamiento. Ejemplos: personas que pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos (como discapacitados síquicos) o en situación de vulnerabilidad y que necesitan mayor protección como personas con enfermedades mentales, solicitantes de asilo, personas mayores, pacientes …
- Cuando se vayan a utilizar nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso a instalaciones. Hay que valorar el impacto significativo sobre la vida diaria y la privacidad de las personas.
- Se alimente una base de datos de clientes con nuevas categorías de datos o se usen las existentes con nuevas finalidades, si los nuevos usos son más intrusivos o inesperados para los afectados.
- Se realice un tratamiento relevante y principal (no meramente incidental o accesorio) de datos de menores o dirigido especialmente a tratar datos de estos, en particular si son menores de 14.
- Cuando se realice un tratamiento destinado a evaluar o predecir aspectos relevantes de los afectados (comportamiento, inclusión en registros de morosos, registro riesgos)
- Cuando se realicen tratamientos de grandes volúmenes de datos con tecnologías como big data, internet de las cosas (Iot), Smart cities …
- Cuando se realicen tratamientos con tecnologías invasivas con la privacidad (videovigilancia a gran escala, drones, vigilancia electrónica, minería de datos, biometría, técnicas genéticas, geolocalización, utilización de etiquetas de radiofrecuencia RFID.
- Cuando los tratamientos afecten a un número elevado de personas o se acumulen una gran cantidad de datos respecto de los interesados.
- Cuando se cedan datos personales a terceros, con los que inicialmente no estaba previsto hacerlo y los usen para fines completamente diferentes para los que los recogió el responsable del tratamiento . EJ: Cesión de datos a un tercero para el envío de información publicitaria de productos o servicios que no son similares a los del responsable del tratamiento.
- Cuando se vayan a transferir los datos a países fuera del espacio económico europeo o con los que no haya un acuerdo bilateral entre países.
- Cuando se vaya a contactar con las personas afectadas de una manera que se podría considerar intrusiva, por ejemplo utilizando datos de geolocalización para información dirigida.
- Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.
- Cuando la recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos.
Está previsto que la Agencia de Protección de Datos publique listas de tipos de operaciones de tratamiento, tanto que requieran una evaluación de impacto como que no lo requieran, por lo que se deberán consultar previamente dichos listados.
Si la EIPD refleja un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento y ésta asesorará a la organización sobre cómo debe proceder.
Cómo se realiza la evaluación de impacto
La EIPD tiene un contenido mínimo: una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento; una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; una evaluación de los riesgos para los derechos y libertades de los interesados del tratamiento y, finalmente, las medidas previstas para afrontar los riesgos.
En todo caso si su organización dispone de Delegado de Protección de Datos, deberá recabar su asesoramiento para la realización de la EIPD.
Las aplicaciones de gestión de protección de datos normalmente disponen de un módulo para la realización de EIPD, por lo que puede proceder directamente la organización a realizarla. Sin embargo, nosotros recomendamos recabar el asesoramiento de su consultor en protección de datos ya que estas operaciones revisten complejidad y son necesarios unos mínimos conocimientos en protección de datos. Además está el factor tiempo: una evaluación de impacto seria y bien realizada, que permita hacer un análisis riguroso de los riesgos, lleva bastante tiempo y un ciclo de acciones derivadas:
- posibles cambios en cláusulas,
- necesidad de firmar nuevos contratos con encargados de tratamiento,
- modificar procedimientos o medidas de seguridad …
Si tu empresa necesita ayuda para ponerse al día en cuanto a protección de datos, disponemos de los medios y profesionales adecuados para ayudarte. Contacta con nuestro equipo de abogados especializados en protección de datos y miembros de APEP – Asociación Española de Profesionales de la Privacidad.
Comparte este artículo: