El nuevo Reglamento General de Protección de Datos, recoge una nueva obligación para los responsables de tratamientos de datos personales, que consiste en llevar a cabo una “evaluación de impacto” (EIPD).

Si has oído hablar sobre ello pero no sabes de qué se trata, te lo explicamos en este artículo.

¿Qué es la Evaluación de Impacto?

La denominada Evaluación de Impacto de Datos Personales (EIPD) consiste en un análisis de los riesgos que la prestación de un servicio puede suponer para la protección de datos personales de los usuarios y, en función de su resultado, marcará la forma en que debemos hacernos cargo de esos riesgos, adoptando las medidas que resulten preceptivas para solventarlos, de forma que podamos garantizar que los datos personales de nuestros clientes sean debidamente protegidos.

En otras palabras, se trata de evaluar el impacto en la protección de datos personales respecto a las opciones que pueden adoptarse en relación con un determinado modelo de negocio.

En función de qué clase de datos y qué volumen de los mismos se manejen, éstos análisis requerirán un grado de intensidad muy distinto.

Esto se debe a que los riesgos pueden ser mínimos o fácilmente salvables, y por contra en otro casos, pueden hacer necesario implementar acciones más rigurosas debido a la dificultad que tales riesgos plantean.

Finalidad de la EIPD

La finalidad que se persigue al realizar una EIPD es posibilitar que los responsables del tratamiento adopten medidas tendentes a reducir esos riesgos que nos obligan a hacerla (disminuyendo la probabilidad de su materialización y las consecuencias negativas para los usuarios).

Un aspecto a destacar sería que en virtud del nuevo principio denominado del “diseño por defecto”, (establecido en el RGPD), las evaluaciones deben realizarse antes de comenzar a realizar el tratamiento de esos datos personales; y por ende debe de practicarse un análisis previo de los riesgos que determine o no su obligatoriedad.

Como podemos observar, no siempre va a resultar preceptiva la realización de una EIPD, aunque sí es necesario que a la hora de realizar o iniciar un nuevo tratamiento siempre se analicen los potenciales riesgos que puedan ser inherentes al mismo.

¿Cuándo se realiza la evaluación?

cuando se debe realizar una evaluacion de impacto

La evaluación de impacto deberá practicarse cuando el tratamiento de los datos personales entrañe un riesgo alto para  los derechos y libertades de los usuarios.

En este sentido, con carácter general, entre las obligaciones generales del responsable y encargado del tratamiento en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; se establece que ambas partes valorarán si procede la realización de una evaluación de impacto.

Por su parte, el responsable del tratamiento, deberá llevarla a cabo cuando haga uso de nuevas tecnologías para el tratamiento de los datos personales que, atendiendo a su naturaleza, alcance, contexto o fines, supongan un riesgo alto.

Siendo más concretos, el artículo 35.3 del RGPD indica que la evaluación de impacto será preceptiva cuando se dé alguno de los siguientes casos que suponen alto riesgo para los derechos de los interesados:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • Tratamiento a gran escala de las categorías especiales de datos personales (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos relativos a la vida sexual o la orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales.
  • Observación sistemática a gran escala de una zona de acceso pública (Ej: Videovigilancia).

Al margen de lo expuesto, el denominado Grupo de Trabajo del artículo 29 (compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la UE), ha venido a expresar que hay una serie de criterios o indicadores importantes para dilucidar si el tratamiento realmente puede entrañar un alto riesgo;

  1. Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el número de interesados, el volumen de los datos o la duración del tratamiento.
  2. Toma de decisiones automatizadas con efecto jurídico o similar para la persona
  3. Observación sistemática del individuo.
  4. Datos sensibles o muy personales, es decir, categorías de datos sensibles en los términos ya indicados.
  5. Realización de una evaluación o puntuación del afectado, incluida la elaboración de perfiles.
  6. Asociación o combinación de conjuntos de datos.
  7. El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato.
  8. Datos relativos a interesados vulnerables, tales como niños o empleados.
  9. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.

Fases de la EIPD

En la realización de una EIPD se distinguen diversas fases:

Necesidad de la EIPD

En esta fase se realiza una valoración de la conveniencia de llevar a cabo o no una Evaluación de Impacto.

En pequeñas o medianas empresas o en aquellas cuya actividad no suponga un tratamiento masivo de datos de carácter personal o no esté orientada a la explotación de los mismos con finalidades que supongan una invasión importante de la privacidad, sería posible optar por una aproximación menos formalizada que, teniendo en cuenta los principios básicos detallados, implique una reflexión seria y responsable sobre los tratamientos de datos personales que se vayan a efectuar y, así, detectar y minimizar los riesgos para los derechos de los afectados que los mismos pudieran entrañar.

Descripción del proyecto y los flujos de información

En esta fase se realiza un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Una correcta cumplimentación de este paso es crucial para realizar una evaluación de impacto adecuada y significativa y para la identificación de los riesgos para la privacidad.

El contenido de esta documentación pondrá de manifiesto los objetivos, los actores implicados, las categorías de datos que se tratarán, las tecnologías utilizadas, las comunicaciones a terceros, la necesidad de utilizar o no todos los datos previstos, la necesidad que tienen los participantes de acceder y utilizar datos personales o categorías de datos personales específicas, etc.

Identificación de los riesgos que afecten a la privacidad

Análisis de los posibles riesgos para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Los riesgos pueden ser de dos tipos. El primero y más importante es el que afecta a las personas cuyos datos son tratados y que se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el daño causado por una utilización ilícita o fraudulenta de los mismos.

Otro tipo de riesgos son los que puede afrontar una organización por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada o errática, sin poner en marcha mecanismos de planificación, implantación, verificación y corrección eficaces.

Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad

Identificación de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.

En la teoría general de análisis de riesgos se preveen diversas opciones dependiendo del impacto que su materialización tendría para la organización: evitarlo o eliminarlo, mitigarlo, transferirlo o aceptarlo.

En algunos casos, estas opciones también estarán abiertas en relación con los riesgos para la privacidad identificados en una EIPD, pero en todos aquellos que supongan un incumplimiento normativo la única opción aceptable es evitarlos o eliminarlos.

Análisis de cumplimiento normativo

Implementación de las soluciones para garantizar la privacidad (controles periódicos).

Ello incluye la legislación básica de Protección de Datos personales y, en concreto, la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo. Pero, dependiendo del sector en el que opere la organización o del proyecto concreto, también pueden existir obligaciones adicionales como, por ejemplo, la legislación sanitaria, de telecomunicaciones o de servicios de sociedad de la información o, en la propia LOPD, lo que se refiere a los ficheros de las Fuerzas y Cuerpos de Seguridad, a la prestación de servicios de solvencia patrimonial y crédito, o los tratamientos con fines de publicidad y prospección comercial.

Informe final

Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.

El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos jurídicos o tecnológicos. Es conveniente incluir un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con precisión.

Implantación de las recomendaciones

Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.

El informe final debe ser remitido a la alta dirección de la organización para que tome las decisiones necesarias en relación con las recomendaciones realizadas y las medidas sugeridas.

Como las medidas a adoptar pueden ser de diversos tipos (organizativas, tecnológicas, contractuales, etc.) no existe un método que indique cómo han de ser llevadas a cabo, y cada organización debe decidir cuál es el que mejor se adapta a su cultura y estructuras de gestión.

Revisión y retroalimentación

Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluación de impacto y actualizarla cuando sea necesario.

Es necesario, pues, examinar el proyecto una vez operativo para verificar que los riesgos detectados se han abordado correctamente y que no existen otros nuevos que en su momento pasaron desapercibidos o que han surgido posteriormente, lo que llevaría aparejada una nueva repetición de las fases de la EIPD.

Contenido del informe de Evaluación de Impacto

contenido-evaluacion-impacto

El informe final de la EIPD debe contener:

  • Una descripción general de las operaciones de tratamiento previstas.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas contempladas para hacer frente a los riesgos y amenazas.
  • Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Existen también otros contenidos adicionales que pueden incluirse en el informe de EIPD como:

  • Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
  • Opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.

Precio de una Evaluación de Impacto

Las tarifas para elaborar una EIPD son muy diversas al depender de varios factores como la dimensión de la organización, si la Evaluación es de un producto o servicio concreto o se refiere a toda la organización, etc.

Establecer el precio “justo” de un informe de Evaluación de Impacto es en ocasiones una difícil tarea para los consultores, más aún cuando sabemos que el promotor del proyecto está soportando multitud de gastos para iniciar su actividad y que el Estudio de Evaluación de Impacto supone un gasto y tiempo con el que en ocasiones no contaba.

El establecimiento del coste y posterior precio final del informe de Evaluación de Impacto en Protección de Datos suele hacerse de forma interna en función de los días y recursos que supondrá la elaboración de la planificación, el trabajo de campo, número de especialidades profesionales implicadas y el posterior trabajo de gabinete.

Así, aunque el proyecto o plan posea una gran magnitud o se esperen de él importantes beneficios, el precio de la EIPD debe ser independiente a ello y debe quedar supeditado sólo a factores objetivos e intrínsecos a la naturaleza del proyecto o plan.

De todo esto podemos concluir que los precios son muy variables ya que pueden ir desde los 1.000 € hasta los 20.000 €.

Casos en los que es obligatorio hacer una Evaluación de impacto

La AEPD ha publicado una lista de supuestos en los cuales es obligatorio realizar una Evaluación de impacto. En el RGPD se establecen unos requisitos genéricos pero remite a la determinación por parte de las autoridades de control de los Estados miembros de los supuestos específicos en los que debe realizarse esa Evaluación de impacto.

La lista de tratamientos de datos que exigen la elaboración de una Evaluación de impacto son los siguientes:

  • Los que supongan la elaboración de perfiles y valoraciones de personas incluida la recopilación de datos que se refieran a hábitos o aspectos de la personalidad de ese individuo.
  • Aquellos que conlleven la toma de decisiones automatizadas. Aquí se incluye cualquier decisión que impida al interesado ejercer un derecho, acceder a un servicio o producto o participar en un contrato.
  • Cuando se monitorice, observe, supervise o geolocalice a una persona o se realice cualquier otro tipo de control de forma sistemática. En este caso se incluye la recopilación de datos o metadatos a través de redes, aplicaciones o zonas de acceso público y el uso de servicios web, televisión interactiva o aplicaciones móviles que permitan identificar de forma inequívoca a los usuarios.
  • Si se tratan datos considerados especialmente protegidos, datos referidos a infracciones o condenas penales o datos de solvencia patrimonial o referidos a la situación financiera de una persona.
  • Utilización de datos biométricos para identificar de manera única a una persona.
  • Uso de datos a gran escala. Para determinar si se produce un uso de datos a gran escala deben tenerse en cuenta los criterios establecidos por el Grupo de Trabajo del artículo 29.
  • En caso de que se combinen o asocien registros de bases de datos de dos o más tratamientos por diferentes responsables y con fines diferentes.
  • Si van a tratarse datos de colectivos vulnerables o en riesgo de exclusión social, incluidos los datos de menores de 14 años, discapacitados, víctimas de violencia de género, personas que accedan a servicios sociales y sus descendientes o personas que estén bajo su custodia.
  • Cuando para el tratamiento se utilicen nuevas tecnologías o tecnologías existentes pero de manera innovadora y la recopilación y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.

Esta lista no es una lista cerrada ya que, siempre que un tratamiento de datos pueda suponer un riesgo elevado para los derechos y libertades de las personas, será necesario realizar una Evaluación de impacto.

Preguntas Frecuentes

Hace un tiempo mi Consultora de Protección de Datos me hizo una Auditoría, ¿necesito hacer una Evaluación de Impacto?

La respuesta es . Las antiguas auditorías tal y como estaban planteadas han desaparecido. Actualmente es necesario hacer la EIPD, que estudiará con mucho más detalle cada uno de los aspectos de nuestro negocio relacionados con la protección de datos y los riesgos existentes.

¿Puedo hacer yo mismo la evaluación de impacto de mi negocio?

En este caso, la respuesta es no. Piensa que si la hicieras tú mismo, inevitablemente no serías objetivo con los aspectos más delicados de la protección de datos. Es importante contar con el asesoramiento de expertos en protección de datos, que puedan determinar de forma fiable qué carencias presentan nuestros protocolos y cómo podemos solventarlas para mitigar los riesgos existentes.

¿Qué puede suceder si no hago la evaluación de impacto sabiendo que estoy obligado a hacerla?

De conformidad con el artículo 73 de la nueva LOPD-GDD, sería considerado como una INFRACCIÓN GRAVE. Las sanciones por ésta clase de infracciones pueden llegar hasta los 10 millones de Euros.

Por lo tanto, debemos tener mucho cuidado con cumplir debidamente la obligaciones que tenemos como responsables del tratamiento.

Evaluación de Impacto Protección de Datos en el RGPD – ¿Qué es?
4.7 (94.29%) 7 votos

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.