[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/","headline":"Evaluaci\u00f3n de Impacto Protecci\u00f3n de Datos en el RGPD – \u00bfQu\u00e9 es?","name":"Evaluaci\u00f3n de Impacto Protecci\u00f3n de Datos en el RGPD – \u00bfQu\u00e9 es?","description":"\u00bfCu\u00e1ndo deberemos realizar una Evaluaci\u00f3n de Impacto en Protecci\u00f3n de Datos seg\u00fan el RGPD? \u00bfCu\u00e1les son sus fases? \u00bfPrecio? \u00a1Desc\u00fabrelo aqu\u00ed! \u261d\ufe0f","datePublished":"2019-02-20","dateModified":"2021-04-15","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2014\/11\/cuando-realizar-eipd.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2014\/11\/cuando-realizar-eipd.jpg","height":"578","width":"799"},"url":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/","commentCount":"16","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment1","dateCreated":"2020-03-03 09:12:14","description":"Buenos d\u00edas Mar\u00eda, es recomendable que el despacho de abogados realice la evaluaci\u00f3n de impacto ya que trata datos sensibles como relativos a condenas penales o de salud","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment2","dateCreated":"2020-03-02 14:04:28","description":"Un despacho de abogados tiene que hacer la evaluacion de impacto?","author":{"@type":"Person","name":"MARIA","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment3","dateCreated":"2019-11-11 10:29:15","description":"Buenos d\u00edas Mamen, ese punto se refiere m\u00e1s bien a la geolocalizaci\u00f3n a gran escala de particulares no vinculados a esa empresa por una relaci\u00f3n laboral. En casos de trabajadores, varias sentencias han autorizado esa geolocalizaci\u00f3n bas\u00e1ndose en la facultad de control de la actividad laboral que tiene el empresario. Aunque si se hace esa EIPD no estar\u00eda de m\u00e1s.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment4","dateCreated":"2019-11-08 09:17:10","description":"Buenos d\u00edas, pero este post dice lo siguiente en el apartado de casos en los que son obligatoria la EIPD: <> Si no es necesaria, \u00bfentonces qu\u00e9 quiere decir eso? Un saludo.","author":{"@type":"Person","name":"MAMEN","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment5","dateCreated":"2019-11-07 19:35:41","description":"Buenas tardes Mamen, la evaluaci\u00f3n de impacto solo ser\u00eda necesaria si se accede a datos sensibles (los de geolocalizaci\u00f3n no se consideran sensibles) o a una gran cantidad de datos personales.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment6","dateCreated":"2019-11-07 09:44:25","description":"Buenos d\u00edas.\r\n- Una empresa que utilice una app para el registro de jornada laboral, la cual los trabajadores tienen que descargar en su m\u00f3vil y acceden con usuario y contrase\u00f1a, si la empresa en un determinado momento quiere acceder a la ubicaci\u00f3n, es decir, datos de geolocalizaci\u00f3n, \u00bftiene la empresa que realizar una evaluaci\u00f3n de impacto?\r\n\r\n- Y si utiliza moviles de empresa, \u00bfdebe realizarla?\r\n\r\nGracias y un saludo.","author":{"@type":"Person","name":"MAMEN","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment7","dateCreated":"2019-08-29 19:45:08","description":"Buenas tardes David, si esa empresa no almacena o trata ning\u00fan dato de salud de los trabajadores u otros datos considerados sensibles no es necesaria la EIPD. La empresa que realiza la adaptaci\u00f3n al puesto de trabajo, si conoce el tipo de discapacidad, s\u00ed deber\u00eda realizar la EIPD.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment8","dateCreated":"2019-08-29 12:56:32","description":"Buenos d\u00edas,\r\n\r\nUn grupo dedicado al sector servicios (limpieza) que tiene un centro especial de empleo y por lo tanto tiene contratado personal discapacitado, pero el servicio de ajuste (adaptaci\u00f3n al puesto de trabajo) lo lleva un encargado de tratamiento, \u00bf es necesario hacer una EIPD?","author":{"@type":"Person","name":"david","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment9","dateCreated":"2019-08-20 10:25:00","description":"Buenos d\u00edas Pilar, s\u00ed debes hacer una EIPD ya que en la farmacia se manejan datos de salud","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#Comment10","dateCreated":"2019-08-12 10:20:00","description":"Hola buenos d\u00edas, en mi caso estoy adaptando una oficina de Farmacia, \u00bfnecesita realizar una EIPD?.\r\n\r\nGracias.","author":{"@type":"Person","name":"Pilar gomez","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":4239,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } El nuevo Reglamento General de Protecci\u00f3n de Datos, recoge una nueva obligaci\u00f3n para los responsables de tratamientos de datos personales, que consiste en llevar a cabo una \u201cevaluaci\u00f3n de impacto\u201d (EIPD).Si has o\u00eddo hablar sobre ello pero no sabes de qu\u00e9 se trata, te lo explicamos en este art\u00edculo.\u00bfQu\u00e9 es la Evaluaci\u00f3n de Impacto?Finalidad\u00bfCu\u00e1ndo debe realizarse una EIPD?Supuestos espec\u00edficosCriterio del Grupo de trabajo del art\u00edculo 29Fases1. Necesidad de la EIPD2. Descripci\u00f3n del proyecto y los flujos de informaci\u00f3n3. Identificaci\u00f3n de los riesgos que afecten a la privacidad4. Gesti\u00f3n de los riesgos y establecimiento de soluciones para garantizar la privacidad5. An\u00e1lisis de cumplimiento normativo6. Informe final7. Implantaci\u00f3n de las recomendaciones8. Revisi\u00f3n y retroalimentaci\u00f3nContenido del informe de Evaluaci\u00f3n de ImpactoPrecioCasos en los que es obligatoriaSupuestos en los que no es obligatoriaPreguntas Frecuentes\u00bfQui\u00e9n debe hacer una EIPD?Hace un tiempo mi Consultora de Protecci\u00f3n de Datos me hizo una Auditor\u00eda, \u00bfnecesito hacer una Evaluaci\u00f3n de Impacto?\u00bfPuedo hacer yo mismo la evaluaci\u00f3n de impacto de mi negocio?\u00bfQu\u00e9 puede suceder si no hago la evaluaci\u00f3n de impacto sabiendo que estoy obligado a hacerla?Modelo de informe final de EIPDGu\u00eda AEPD de Evaluaci\u00f3n de impacto\u00bfQu\u00e9 es la Evaluaci\u00f3n de Impacto?La denominada Evaluaci\u00f3n de Impacto de Datos Personales (EIPD) consiste en un an\u00e1lisis de los riesgos que la prestaci\u00f3n de un servicio puede suponer para la protecci\u00f3n de datos personales de los usuarios.En funci\u00f3n de su resultado, se marcar\u00e1 la forma en que debemos hacernos cargo de esos riesgos, adoptando las medidas que resulten preceptivas para solventarlos, de forma que podamos garantizar que los datos personales de nuestros clientes sean debidamente protegidos.En otras palabras, se trata de evaluar el impacto en la protecci\u00f3n de datos personales respecto a las opciones que pueden adoptarse en relaci\u00f3n con un determinado modelo de negocio.Seg\u00fan qu\u00e9 clase de datos y qu\u00e9 volumen de los mismos se manejen, \u00e9stos an\u00e1lisis requerir\u00e1n un grado de intensidad muy distinto.Esto se debe a que los riesgos pueden ser m\u00ednimos o f\u00e1cilmente salvables. En otros casos, pueden hacer necesario implementar acciones m\u00e1s rigurosas debido a la dificultad que tales riesgos plantean.FinalidadLa finalidad que se persigue al realizar una EIPD es posibilitar que los responsables del tratamiento adopten medidas tendentes a reducir esos riesgos que nos obligan a hacerla (disminuyendo la probabilidad de su materializaci\u00f3n y las consecuencias negativas para los usuarios).Un aspecto a destacar ser\u00eda que en virtud del nuevo principio denominado del \u201cdise\u00f1o por defecto\u201d, (establecido en el RGPD), las evaluaciones deben realizarse antes de comenzar a realizar el tratamiento de esos datos personales; y por ende debe de practicarse un an\u00e1lisis previo de los riesgos que determine o no su obligatoriedad.Como podemos observar, no siempre va a resultar preceptiva la realizaci\u00f3n de una EIPD, aunque s\u00ed es necesario que a la hora de realizar o iniciar un nuevo tratamiento siempre se analicen los potenciales riesgos que puedan ser inherentes al mismo.\u00bfCu\u00e1ndo debe realizarse una EIPD?La evaluaci\u00f3n de impacto deber\u00e1 practicarse cuando el tratamiento de los datos personales\u00a0entra\u00f1e un riesgo alto para\u00a0 los derechos y libertades de los usuarios.En este sentido, con car\u00e1cter general, entre las obligaciones generales del responsable y encargado del tratamiento en la Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y garant\u00eda de los derechos digitales (LOPDGDD) y en el Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos; se establece que ambas partes valorar\u00e1n si procede la realizaci\u00f3n de una evaluaci\u00f3n de impacto.Por su parte, el responsable del tratamiento, deber\u00e1 llevarla a cabo cuando haga uso de nuevas tecnolog\u00edas para el tratamiento de los datos personales que, atendiendo a su naturaleza, alcance, contexto o fines, supongan un riesgo alto.Supuestos espec\u00edficosSiendo m\u00e1s concretos, el art\u00edculo 35.3 del RGPD indica que la evaluaci\u00f3n de impacto ser\u00e1 preceptiva cuando se d\u00e9 alguno de los siguientes casos que suponen alto riesgo para los derechos de los interesados:Evaluaci\u00f3n sistem\u00e1tica y exhaustiva de aspectos personales de personas f\u00edsicas que se base en un tratamiento automatizado, como la elaboraci\u00f3n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur\u00eddicos para las personas f\u00edsicas o que les afecten significativamente de modo similar;Tratamiento a gran escala de las categor\u00edas especiales de datos personales (los que revelen el origen \u00e9tnico o racial, las opiniones pol\u00edticas, las convicciones religiosas o filos\u00f3ficas, o la afiliaci\u00f3n sindical, y el tratamiento de datos gen\u00e9ticos, datos biom\u00e9tricos dirigidos a identificar de manera un\u00edvoca a una persona f\u00edsica, datos relativos a la salud, o datos relativos a la vida sexual o la orientaci\u00f3n sexual de una persona f\u00edsica) o de datos personales relativos a condenas e infracciones penales.Observaci\u00f3n sistem\u00e1tica a gran escala de una zona de acceso p\u00fablica (Ej: Videovigilancia).Criterio del Grupo de trabajo del art\u00edculo 29Al margen de lo expuesto, el denominado Grupo de Trabajo del art\u00edculo 29 (compuesto por un representante de la autoridad de protecci\u00f3n de datos de cada Estado miembro de la UE), ha venido a expresar que hay una serie de criterios o indicadores importantes para dilucidar si el tratamiento realmente puede entra\u00f1ar un alto riesgo;Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el n\u00famero de interesados, el volumen de los datos o la duraci\u00f3n del tratamiento.Toma de decisiones automatizadas con efecto jur\u00eddico o similar para la personaObservaci\u00f3n sistem\u00e1tica del individuo.Datos sensibles o muy personales, es decir, categor\u00edas de datos sensibles en los t\u00e9rminos ya indicados.Realizaci\u00f3n de una evaluaci\u00f3n o puntuaci\u00f3n del afectado, incluida la elaboraci\u00f3n de perfiles.Asociaci\u00f3n o combinaci\u00f3n de conjuntos de datos.El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato.Datos relativos a interesados vulnerables, tales como ni\u00f1os o empleados.Uso innovador o aplicaci\u00f3n de nuevas soluciones tecnol\u00f3gicas u organizativas.FasesEn la realizaci\u00f3n de una EIPD se distinguen diversas fases:1. Necesidad de la EIPDEn esta fase se realiza una valoraci\u00f3n de la conveniencia de llevar a cabo o no una Evaluaci\u00f3n de Impacto.En peque\u00f1as o medianas empresas o en aquellas cuya actividad no suponga un tratamiento masivo de datos de car\u00e1cter personal o no est\u00e9 orientada a la explotaci\u00f3n de los mismos con finalidades que supongan una invasi\u00f3n importante de la privacidad, ser\u00eda posible optar por una aproximaci\u00f3n menos formalizada que, teniendo en cuenta los principios b\u00e1sicos detallados, implique una reflexi\u00f3n seria y responsable sobre los tratamientos de datos personales que se vayan a efectuar y, as\u00ed, detectar y minimizar los riesgos para los derechos de los afectados que los mismos pudieran entra\u00f1ar.2. Descripci\u00f3n del proyecto y los flujos de informaci\u00f3nEn esta fase se realiza un an\u00e1lisis en profundidad del proyecto, obteniendo el detalle de:categor\u00edas de datos que se tratan,usuarios de los mismos,flujos de informaci\u00f3n ytecnolog\u00edas utilizadas.Una correcta cumplimentaci\u00f3n de este paso es crucial para realizar una evaluaci\u00f3n de impacto adecuada y significativa y para la identificaci\u00f3n de los riesgos para la privacidad.El contenido de esta documentaci\u00f3n pondr\u00e1 de manifiesto:objetivos,actores implicados,categor\u00edas de datos que se tratar\u00e1n,tecnolog\u00edas utilizadas,comunicaciones a terceros,necesidad de utilizar o no todos los datos previstos,necesidad que tienen los participantes de acceder y utilizar datos personales o categor\u00edas de datos personales espec\u00edficas, etc.3. Identificaci\u00f3n de los riesgos que afecten a la privacidadAn\u00e1lisis de los posibles riesgos para la protecci\u00f3n de datos de los afectados y valoraci\u00f3n de la probabilidad y el impacto de su materializaci\u00f3n.Los riesgos pueden ser de dos tipos.El primero y m\u00e1s importante es el que afecta a las personas cuyos datos son tratados y que se concreta en:posible violaci\u00f3n de sus derechos,p\u00e9rdida de informaci\u00f3n necesaria oda\u00f1o causado por una utilizaci\u00f3n il\u00edcita o fraudulenta de los mismos.Otro tipo de riesgos son los que puede afrontar una organizaci\u00f3n por no haber implantado una correcta pol\u00edtica de protecci\u00f3n de datos o por haberlo hecho de forma descuidada o err\u00e1tica, sin poner en marcha mecanismos de planificaci\u00f3n, implantaci\u00f3n, verificaci\u00f3n y correcci\u00f3n eficaces.4. Gesti\u00f3n de los riesgos y establecimiento de soluciones para garantizar la privacidadIdentificaci\u00f3n de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.En la teor\u00eda general de an\u00e1lisis de riesgos se preveen diversas opciones dependiendo del impacto que su materializaci\u00f3n tendr\u00eda para la organizaci\u00f3n: evitarlo o eliminarlo, mitigarlo, transferirlo o aceptarlo.En algunos casos, estas opciones tambi\u00e9n estar\u00e1n abiertas en relaci\u00f3n con los riesgos para la privacidad identificados en una EIPD, pero en todos aquellos que supongan un incumplimiento normativo la \u00fanica opci\u00f3n aceptable es evitarlos o eliminarlos.5. An\u00e1lisis de cumplimiento normativoImplementaci\u00f3n de las soluciones para garantizar la privacidad (controles peri\u00f3dicos).Ello incluye la legislaci\u00f3n b\u00e1sica de Protecci\u00f3n de Datos personales y, en concreto, el RGPD y la LOPDGDD.Pero, dependiendo del sector en el que opere la organizaci\u00f3n o del proyecto concreto, tambi\u00e9n pueden existir obligaciones adicionales como, por ejemplo, la legislaci\u00f3n sanitaria, de telecomunicaciones o de servicios de sociedad de la informaci\u00f3n o, en la propia LOPD, lo que se refiere a los ficheros de las Fuerzas y Cuerpos de Seguridad, a la prestaci\u00f3n de servicios de solvencia patrimonial y cr\u00e9dito, o los tratamientos con fines de publicidad y prospecci\u00f3n comercial.6. Informe finalRelaci\u00f3n detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.El lenguaje del informe debe ser lo m\u00e1s claro y transparente posible, huyendo de tecnicismos tanto legales como tecnol\u00f3gicos, permitiendo su comprensi\u00f3n a todos los destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos t\u00e9rminos jur\u00eddicos o tecnol\u00f3gicos.Es conveniente incluir un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con precisi\u00f3n.7. Implantaci\u00f3n de las recomendacionesDecisi\u00f3n sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignaci\u00f3n de los recursos necesarios para su ejecuci\u00f3n y del responsable de implantarlas.El informe final debe ser remitido a la alta direcci\u00f3n de la organizaci\u00f3n para que tome las decisiones necesarias en relaci\u00f3n con las recomendaciones realizadas y las medidas sugeridas.Como las medidas a adoptar pueden ser de diversos tipos (organizativas, tecnol\u00f3gicas, contractuales, etc.) no existe un m\u00e9todo que indique c\u00f3mo han de ser llevadas a cabo, y cada organizaci\u00f3n debe decidir cu\u00e1l es el que mejor se adapta a su cultura y estructuras de gesti\u00f3n.8. Revisi\u00f3n y retroalimentaci\u00f3nAn\u00e1lisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que hab\u00edan pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluaci\u00f3n de impacto y actualizarla cuando sea necesario.Es necesario, pues, examinar el proyecto una vez operativo para verificar que los riesgos detectados se han abordado correctamente y que no existen otros nuevos que en su momento pasaron desapercibidos o que han surgido posteriormente, lo que llevar\u00eda aparejada una nueva repetici\u00f3n de las fases de la EIPD.Contenido del informe de Evaluaci\u00f3n de ImpactoEl informe final de la EIPD debe contener:Una descripci\u00f3n general de las operaciones de tratamiento previstas.Una evaluaci\u00f3n de los riesgos para los derechos y libertades de los interesados.Las medidas contempladas para hacer frente a los riesgos y amenazas.Garant\u00edas, medidas de seguridad y mecanismos destinados a garantizar la protecci\u00f3n de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses leg\u00edtimos de los interesados y de otras personas afectadas.Existen tambi\u00e9n otros contenidos adicionales que pueden incluirse en el informe de EIPD como:Referencia a posibles C\u00f3digos de Conducta aplicables (una herramienta muy \u00fatil para la autorregulaci\u00f3n de sectores de actividad concretos).Opini\u00f3n de los interesados o de sus representantes, sin perjuicio de la protecci\u00f3n de intereses p\u00fablicos o comerciales o la seguridad del tratamiento.PrecioLas tarifas para elaborar una EIPD son muy diversas al depender de varios factores como la dimensi\u00f3n de la organizaci\u00f3n, si la Evaluaci\u00f3n es de un producto o servicio concreto o se refiere a toda la organizaci\u00f3n, etc.Establecer el precio \u201cjusto\u201d de un informe de Evaluaci\u00f3n de Impacto es en ocasiones una dif\u00edcil tarea para los consultores, m\u00e1s a\u00fan cuando sabemos que el promotor del proyecto est\u00e1 soportando multitud de gastos para iniciar su actividad y que el Estudio de Evaluaci\u00f3n de Impacto supone un gasto y tiempo con el que en ocasiones no contaba.El establecimiento del coste y posterior precio final del informe de Evaluaci\u00f3n de Impacto en Protecci\u00f3n de Datos suele hacerse de forma interna en funci\u00f3n de los d\u00edas y recursos que supondr\u00e1 la elaboraci\u00f3n de la planificaci\u00f3n, el trabajo de campo, n\u00famero de especialidades profesionales implicadas y el posterior trabajo de gabinete.As\u00ed, aunque el proyecto o plan posea una gran magnitud o se esperen de \u00e9l importantes beneficios, el precio de la EIPD debe ser independiente a ello y debe quedar supeditado s\u00f3lo a factores objetivos e intr\u00ednsecos a la naturaleza del proyecto o plan.De todo esto podemos concluir que los precios son muy variables ya que pueden ir desde los 1.000 \u20ac hasta los 20.000 \u20ac.Casos en los que es obligatoriaLa AEPD ha publicado una lista de supuestos en los cuales es obligatorio realizar una Evaluaci\u00f3n de impacto. En el RGPD se establecen unos requisitos gen\u00e9ricos pero remite a la determinaci\u00f3n por parte de las autoridades de control de los Estados miembros de los supuestos espec\u00edficos en los que debe realizarse esa Evaluaci\u00f3n de impacto.La lista de tratamientos de datos que exigen la elaboraci\u00f3n de una Evaluaci\u00f3n de impacto son los siguientes:Los que supongan la elaboraci\u00f3n de perfiles y valoraciones de personas incluida la recopilaci\u00f3n de datos que se refieran a h\u00e1bitos o aspectos de la personalidad de ese individuo.Aquellos que conlleven la toma de decisiones automatizadas. Aqu\u00ed se incluye cualquier decisi\u00f3n que impida al interesado ejercer un derecho, acceder a un servicio o producto o participar en un contrato.Cuando se monitorice, observe, supervise o geolocalice a una persona o se realice cualquier otro tipo de control de forma sistem\u00e1tica. En este caso se incluye la recopilaci\u00f3n de datos o metadatos a trav\u00e9s de redes, aplicaciones o zonas de acceso p\u00fablico y el uso de servicios web, televisi\u00f3n interactiva o aplicaciones m\u00f3viles que permitan identificar de forma inequ\u00edvoca a los usuarios.Si se tratan datos considerados especialmente protegidos, datos referidos a infracciones o condenas penales o datos de solvencia patrimonial o referidos a la situaci\u00f3n financiera de una persona.Utilizaci\u00f3n de datos biom\u00e9tricos para identificar de manera \u00fanica a una persona.Uso de datos a gran escala. Para determinar si se produce un uso de datos a gran escala deben tenerse en cuenta los criterios establecidos por el Grupo de Trabajo del art\u00edculo 29.En caso de que se combinen o asocien registros de bases de datos de dos o m\u00e1s tratamientos por diferentes responsables y con fines diferentes.Si van a tratarse datos de colectivos vulnerables o en riesgo de exclusi\u00f3n social, incluidos los datos de menores de 14 a\u00f1os, discapacitados, v\u00edctimas de violencia de g\u00e9nero, personas que accedan a servicios sociales y sus descendientes o personas que est\u00e9n bajo su custodia.Cuando para el tratamiento se utilicen nuevas tecnolog\u00edas o tecnolog\u00edas existentes pero de manera innovadora y la recopilaci\u00f3n y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.Esta lista no es una lista cerrada ya que, siempre que un tratamiento de datos pueda suponer un riesgo elevado para los derechos y libertades de las personas, ser\u00e1 necesario realizar una EIPD.Supuestos en los que no es obligatoriaLa AEPD tambi\u00e9n ha publicado otra lista de supuestos en los cuales no es obligatorio realizar una EIPD. La intenci\u00f3n es facilitar a los responsables del tratamiento el reconocimiento de aquellas actividades para las que necesitan realizar una Evaluaci\u00f3n de impacto.Seg\u00fan el RGPD, se exige la realizaci\u00f3n previa de una EIPD cuando se vayan a comenzar tratamientos que supongan un alto riesgo para las libertades y derechos de los ciudadanos, en funci\u00f3n de su contexto, naturaleza, alcance y fines.La propia norma europea deja en manos de las autoridades de control de los Estados miembros la opci\u00f3n de publicar un listado de aquellos tratamientos que necesitan una EIPD. En nuestro pa\u00eds, la AEPD ya ha publicado las dos listas con los tratamientos en los que s\u00ed es obligatoria la EIPD y aquellos en los que no lo es y las ha comunicado al Comit\u00e9 Europeo de Protecci\u00f3n de datos.Dentro de los supuestos en los que no es necesario realizar la Evaluaci\u00f3n de impacto est\u00e1n:Los tratamientos realizados bas\u00e1ndose en directrices establecidas en circulares o en decisiones adoptadas por la AEPD. Pero siempre que ese tratamiento no sufra ning\u00fan cambio desde que se autoriz\u00f3.Si el tratamiento es acorde a los c\u00f3digos de conducta aprobados por las autoridades de control o por la Comisi\u00f3n Europea. En este caso es necesario que se haya realizado previamente una EIPD para aprobar ese c\u00f3digo de conducta y el tratamiento cumpla las garant\u00edas exigidas en esa EIPD.Aquellos tratamientos realizados de forma individual por profesionales aut\u00f3nomos. Por ejemplo, los abogados, m\u00e9dicos u otros profesionales de la salud. No obstante, ser\u00e1 obligatoria la EIPD si ese tratamiento cumple dos o m\u00e1s de los requisitos previstos en la lista de tratamientos en los que es obligatoria su realizaci\u00f3n.Tratamientos referidos a la gesti\u00f3n interna del personal de las pymes, obligatorios por ley, y referidos a la gesti\u00f3n de n\u00f3minas y recursos humanos, contabilidad, salud laboral y seguridad social.Cuando el tratamiento se realice en cumplimiento de una obligaci\u00f3n legal o del inter\u00e9s p\u00fablico o en el ejercicio de poderes p\u00fablicos.Los tratamientos efectuados por las Comunidades de propietarios.Aquellos tratamientos realizados por asociaciones sin \u00e1nimo de lucro y colegios profesionales para gestionar los datos de sus socios. Pero siempre que esos datos no sean sensibles.La AEPD tambi\u00e9n indica que este listado no exonera a aquellos que est\u00e9n excluidos de realizar la EIPD de cumplir las dem\u00e1s obligaciones exigidas por la normativa de Protecci\u00f3n de datos.La realizaci\u00f3n de una Evaluaci\u00f3n de impacto supone un elevado coste para la empresa por lo que la AEPD entiende que, el responsable del tratamiento debe analizar cualitativamente el tratamiento realizado y, puede decidir que no es necesario realizar esa EIPD fundamentando suficientemente su decisi\u00f3n.Preguntas Frecuentes\u00bfQui\u00e9n debe hacer una EIPD?La Ley no establece la persona que debe encargarse de realizar la EIPD. Normalmente se realizar\u00e1 por el Delegado de Protecci\u00f3n de datos, en caso de que la empresa lo tenga. Tambi\u00e9n es habitual contratar el servicio con una consultora especialista en Protecci\u00f3n de datos ya que se exigen conocimientos sobre Protecci\u00f3n de datos y riesgos para poder realizarla.Hace un tiempo mi Consultora de Protecci\u00f3n de Datos me hizo una Auditor\u00eda, \u00bfnecesito hacer una Evaluaci\u00f3n de Impacto?La respuesta es S\u00ed. Las antiguas auditor\u00edas tal y como estaban planteadas han desaparecido. Actualmente es necesario hacer la EIPD, que estudiar\u00e1 con mucho m\u00e1s detalle cada uno de los aspectos de nuestro negocio relacionados con la protecci\u00f3n de datos y los riesgos existentes.\u00bfPuedo hacer yo mismo la evaluaci\u00f3n de impacto de mi negocio?En este caso, la respuesta es No. Piensa que si la hicieras t\u00fa mismo, inevitablemente no ser\u00edas objetivo con los aspectos m\u00e1s delicados de la protecci\u00f3n de datos. Es importante contar con el asesoramiento de expertos en protecci\u00f3n de datos, que puedan determinar de forma fiable qu\u00e9 carencias presentan nuestros protocolos y c\u00f3mo podemos solventarlas para mitigar los riesgos existentes.\u00bfQu\u00e9 puede suceder si no hago la evaluaci\u00f3n de impacto sabiendo que estoy obligado a hacerla?De conformidad con el art\u00edculo 73 de la nueva LOPD-GDD, ser\u00eda considerado como una INFRACCI\u00d3N GRAVE. Las sanciones por \u00e9sta clase de infracciones pueden llegar hasta los 10 millones de Euros.Por lo tanto, debemos tener mucho cuidado con cumplir debidamente la obligaciones que tenemos como responsables del tratamiento.Modelo de informe final de EIPDHace un mes la AEPD public\u00f3 un modelo de informe de EIPD dirigido a las Administraciones p\u00fablicas para facilitarles la realizaci\u00f3n de las evaluaciones de impacto.El modelo se ha elaborado a partir de la Gu\u00eda sobre Evaluaciones de impacto publicada por la AEPD y con la colaboraci\u00f3n del\u00a0Ministerio de Trabajo, Migraciones y Seguridad Social.Dentro de este modelo se incluyen todas las cuestiones que deben tenerse en cuenta para elaborar ese informe:Descripci\u00f3n del tratamientoBase de legitimaci\u00f3nAn\u00e1lisis del tratamientoObligaci\u00f3n de realizar la EIPDMedidas para reducir los riesgosPlan de actuaci\u00f3nConclusiones y recomendacionesEste modelo no se dirige a los responsables que realicen tratamientos de bajo riesgo pero, aunque no exista obligaci\u00f3n de realizar la EIPD, esta puede llevarse a cabo con otras finalidades como:Realizar un estudio en profundidad de un tratamientoMejorar la gesti\u00f3n global de los procesos de una empresaCrear una cultura de protecci\u00f3n de datosEfectuar un ejercicio de responsabilidad proactivaGu\u00eda AEPD de Evaluaci\u00f3n de impactoAqu\u00ed puedes descargarte la Gu\u00eda publicada por la AEPD sobre Evaluaciones de impacto en Protecci\u00f3n de datos.Espero que con todo esto te haya quedado claro en qu\u00e9 consiste una EIPD y cu\u00e1ndo debes realizarla. Si tienes cualquier duda com\u00e9ntame y te ayudar\u00e9. "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2019\/02\/20\/evaluacion-impacto-proteccion-datos-rgpd\/#breadcrumbitem","name":"Evaluaci\u00f3n de Impacto Protecci\u00f3n de Datos en el RGPD – \u00bfQu\u00e9 es?"}}]}]