Evaluación de Impacto Protección de Datos en el RGPD – ¿Qué es?

El nuevo Reglamento General de Protección de Datos, recoge una nueva obligación para los responsables de tratamientos de datos personales, que consiste en llevar a cabo una “evaluación de impacto” (EIPD).

Si has oído hablar sobre ello pero no sabes de qué se trata, te lo explicamos en este artículo.

¿Qué es la Evaluación de Impacto?

La denominada Evaluación de Impacto de Datos Personales (EIPD) consiste en un análisis de los riesgos que la prestación de un servicio puede suponer para la protección de datos personales de los usuarios.

En función de su resultado, se marcará la forma en que debemos hacernos cargo de esos riesgos, adoptando las medidas que resulten preceptivas para solventarlos, de forma que podamos garantizar que los datos personales de nuestros clientes sean debidamente protegidos.

En otras palabras, se trata de evaluar el impacto en la protección de datos personales respecto a las opciones que pueden adoptarse en relación con un determinado modelo de negocio.

Según qué clase de datos y qué volumen de los mismos se manejen, éstos análisis requerirán un grado de intensidad muy distinto.

Esto se debe a que los riesgos pueden ser mínimos o fácilmente salvables. En otros casos, pueden hacer necesario implementar acciones más rigurosas debido a la dificultad que tales riesgos plantean.

Finalidad

La finalidad que se persigue al realizar una EIPD es posibilitar que los responsables del tratamiento adopten medidas tendentes a reducir esos riesgos que nos obligan a hacerla (disminuyendo la probabilidad de su materialización y las consecuencias negativas para los usuarios).

Un aspecto a destacar sería que en virtud del nuevo principio denominado del “diseño por defecto”, (establecido en el RGPD), las evaluaciones deben realizarse antes de comenzar a realizar el tratamiento de esos datos personales; y por ende debe de practicarse un análisis previo de los riesgos que determine o no su obligatoriedad.

Como podemos observar, no siempre va a resultar preceptiva la realización de una EIPD, aunque sí es necesario que a la hora de realizar o iniciar un nuevo tratamiento siempre se analicen los potenciales riesgos que puedan ser inherentes al mismo.

¿Cuándo debe realizarse una EIPD?

La evaluación de impacto deberá practicarse cuando el tratamiento de los datos personales entrañe un riesgo alto para  los derechos y libertades de los usuarios.

En este sentido, con carácter general, entre las obligaciones generales del responsable y encargado del tratamiento en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; se establece que ambas partes valorarán si procede la realización de una evaluación de impacto.

Por su parte, el responsable del tratamiento, deberá llevarla a cabo cuando haga uso de nuevas tecnologías para el tratamiento de los datos personales que, atendiendo a su naturaleza, alcance, contexto o fines, supongan un riesgo alto.

Supuestos específicos

Siendo más concretos, el artículo 35.3 del RGPD indica que la evaluación de impacto será preceptiva cuando se dé alguno de los siguientes casos que suponen alto riesgo para los derechos de los interesados:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
• Tratamiento a gran escala de las categorías especiales de datos personales (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos relativos a la vida sexual o la orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales.
• Observación sistemática a gran escala de una zona de acceso pública (Ej: Videovigilancia).

Criterio del Grupo de trabajo del artículo 29

Al margen de lo expuesto, el denominado Grupo de Trabajo del artículo 29 (compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la UE), ha venido a expresar que hay una serie de criterios o indicadores importantes para dilucidar si el tratamiento realmente puede entrañar un alto riesgo;

1. Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el número de interesados, el volumen de los datos o la duración del tratamiento.
2. Toma de decisiones automatizadas con efecto jurídico o similar para la persona
3. Observación sistemática del individuo.
4. Datos sensibles o muy personales, es decir, categorías de datos sensibles en los términos ya indicados.
5. Realización de una evaluación o puntuación del afectado, incluida la elaboración de perfiles.
6. Asociación o combinación de conjuntos de datos.
7. El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato.
8. Datos relativos a interesados vulnerables, tales como niños o empleados.
9. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.

Fases

En la realización de una EIPD se distinguen diversas fases:

1. Necesidad de la EIPD

En esta fase se realiza una valoración de la conveniencia de llevar a cabo o no una Evaluación de Impacto.

En pequeñas o medianas empresas o en aquellas cuya actividad no suponga un tratamiento masivo de datos de carácter personal o no esté orientada a la explotación de los mismos con finalidades que supongan una invasión importante de la privacidad, sería posible optar por una aproximación menos formalizada que, teniendo en cuenta los principios básicos detallados, implique una reflexión seria y responsable sobre los tratamientos de datos personales que se vayan a efectuar y, así, detectar y minimizar los riesgos para los derechos de los afectados que los mismos pudieran entrañar.

2. Descripción del proyecto y los flujos de información

En esta fase se realiza un análisis en profundidad del proyecto, obteniendo el detalle de:

• categorías de datos que se tratan,
• usuarios de los mismos,
• flujos de información y
• tecnologías utilizadas.

Una correcta cumplimentación de este paso es crucial para realizar una evaluación de impacto adecuada y significativa y para la identificación de los riesgos para la privacidad.

El contenido de esta documentación pondrá de manifiesto:

• objetivos,
• actores implicados,
• categorías de datos que se tratarán,
• tecnologías utilizadas,
• comunicaciones a terceros,
• necesidad de utilizar o no todos los datos previstos,
• necesidad que tienen los participantes de acceder y utilizar datos personales o categorías de datos personales específicas, etc.

3. Identificación de los riesgos que afecten a la privacidad

Análisis de los posibles riesgos para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Los riesgos pueden ser de dos tipos.

El primero y más importante es el que afecta a las personas cuyos datos son tratados y que se concreta en:

• posible violación de sus derechos,
• pérdida de información necesaria o
• daño causado por una utilización ilícita o fraudulenta de los mismos.

Otro tipo de riesgos son los que puede afrontar una organización por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada o errática, sin poner en marcha mecanismos de planificación, implantación, verificación y corrección eficaces.

4. Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad

Identificación de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.

En la teoría general de análisis de riesgos se preveen diversas opciones dependiendo del impacto que su materialización tendría para la organización: evitarlo o eliminarlo, mitigarlo, transferirlo o aceptarlo.

En algunos casos, estas opciones también estarán abiertas en relación con los riesgos para la privacidad identificados en una EIPD, pero en todos aquellos que supongan un incumplimiento normativo la única opción aceptable es evitarlos o eliminarlos.

5. Análisis de cumplimiento normativo

Implementación de las soluciones para garantizar la privacidad (controles periódicos).

Ello incluye la legislación básica de Protección de Datos personales y, en concreto, el RGPD y la LOPDGDD.

Pero, dependiendo del sector en el que opere la organización o del proyecto concreto, también pueden existir obligaciones adicionales como, por ejemplo, la legislación sanitaria, de telecomunicaciones o de servicios de sociedad de la información o, en la propia LOPD, lo que se refiere a los ficheros de las Fuerzas y Cuerpos de Seguridad, a la prestación de servicios de solvencia patrimonial y crédito, o los tratamientos con fines de publicidad y prospección comercial.

6. Informe final

Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.

El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos jurídicos o tecnológicos.

Es conveniente incluir un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con precisión.

7. Implantación de las recomendaciones

Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.

El informe final debe ser remitido a la alta dirección de la organización para que tome las decisiones necesarias en relación con las recomendaciones realizadas y las medidas sugeridas.

Como las medidas a adoptar pueden ser de diversos tipos (organizativas, tecnológicas, contractuales, etc.) no existe un método que indique cómo han de ser llevadas a cabo, y cada organización debe decidir cuál es el que mejor se adapta a su cultura y estructuras de gestión.

8. Revisión y retroalimentación

Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluación de impacto y actualizarla cuando sea necesario.

Es necesario, pues, examinar el proyecto una vez operativo para verificar que los riesgos detectados se han abordado correctamente y que no existen otros nuevos que en su momento pasaron desapercibidos o que han surgido posteriormente, lo que llevaría aparejada una nueva repetición de las fases de la EIPD.

Contenido del informe de Evaluación de Impacto

El informe final de la EIPD debe contener:

• Una descripción general de las operaciones de tratamiento previstas.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas contempladas para hacer frente a los riesgos y amenazas.
• Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Existen también otros contenidos adicionales que pueden incluirse en el informe de EIPD como:

• Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
• Opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.

Precio

Las tarifas para elaborar una EIPD son muy diversas al depender de varios factores como la dimensión de la organización, si la Evaluación es de un producto o servicio concreto o se refiere a toda la organización, etc.

Establecer el precio “justo” de un informe de Evaluación de Impacto es en ocasiones una difícil tarea para los consultores, más aún cuando sabemos que el promotor del proyecto está soportando multitud de gastos para iniciar su actividad y que el Estudio de Evaluación de Impacto supone un gasto y tiempo con el que en ocasiones no contaba.

El establecimiento del coste y posterior precio final del informe de Evaluación de Impacto en Protección de Datos suele hacerse de forma interna en función de los días y recursos que supondrá la elaboración de la planificación, el trabajo de campo, número de especialidades profesionales implicadas y el posterior trabajo de gabinete.

Así, aunque el proyecto o plan posea una gran magnitud o se esperen de él importantes beneficios, el precio de la EIPD debe ser independiente a ello y debe quedar supeditado sólo a factores objetivos e intrínsecos a la naturaleza del proyecto o plan.

De todo esto podemos concluir que los precios son muy variables ya que pueden ir desde los 1.000 € hasta los 20.000 €.

Casos en los que es obligatoria

La AEPD ha publicado una lista de supuestos en los cuales es obligatorio realizar una Evaluación de impacto. En el RGPD se establecen unos requisitos genéricos pero remite a la determinación por parte de las autoridades de control de los Estados miembros de los supuestos específicos en los que debe realizarse esa Evaluación de impacto.

La lista de tratamientos de datos que exigen la elaboración de una Evaluación de impacto son los siguientes:

• Los que supongan la elaboración de perfiles y valoraciones de personas incluida la recopilación de datos que se refieran a hábitos o aspectos de la personalidad de ese individuo.
• Aquellos que conlleven la toma de decisiones automatizadas. Aquí se incluye cualquier decisión que impida al interesado ejercer un derecho, acceder a un servicio o producto o participar en un contrato.
• Cuando se monitorice, observe, supervise o geolocalice a una persona o se realice cualquier otro tipo de control de forma sistemática. En este caso se incluye la recopilación de datos o metadatos a través de redes, aplicaciones o zonas de acceso público y el uso de servicios web, televisión interactiva o aplicaciones móviles que permitan identificar de forma inequívoca a los usuarios.
• Si se tratan datos considerados especialmente protegidos, datos referidos a infracciones o condenas penales o datos de solvencia patrimonial o referidos a la situación financiera de una persona.
• Utilización de datos biométricos para identificar de manera única a una persona.
• Uso de datos a gran escala. Para determinar si se produce un uso de datos a gran escala deben tenerse en cuenta los criterios establecidos por el Grupo de Trabajo del artículo 29.
• En caso de que se combinen o asocien registros de bases de datos de dos o más tratamientos por diferentes responsables y con fines diferentes.
• Si van a tratarse datos de colectivos vulnerables o en riesgo de exclusión social, incluidos los datos de menores de 14 años, discapacitados, víctimas de violencia de género, personas que accedan a servicios sociales y sus descendientes o personas que estén bajo su custodia.
• Cuando para el tratamiento se utilicen nuevas tecnologías o tecnologías existentes pero de manera innovadora y la recopilación y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.

Esta lista no es una lista cerrada ya que, siempre que un tratamiento de datos pueda suponer un riesgo elevado para los derechos y libertades de las personas, será necesario realizar una EIPD.

Supuestos en los que no es obligatoria

La AEPD también ha publicado otra lista de supuestos en los cuales no es obligatorio realizar una EIPD. La intención es facilitar a los responsables del tratamiento el reconocimiento de aquellas actividades para las que necesitan realizar una Evaluación de impacto.

Según el RGPD, se exige la realización previa de una EIPD cuando se vayan a comenzar tratamientos que supongan un alto riesgo para las libertades y derechos de los ciudadanos, en función de su contexto, naturaleza, alcance y fines.

La propia norma europea deja en manos de las autoridades de control de los Estados miembros la opción de publicar un listado de aquellos tratamientos que necesitan una EIPD. En nuestro país, la AEPD ya ha publicado las dos listas con los tratamientos en los que sí es obligatoria la EIPD y aquellos en los que no lo es y las ha comunicado al Comité Europeo de Protección de datos.

Dentro de los supuestos en los que no es necesario realizar la Evaluación de impacto están:

• Los tratamientos realizados basándose en directrices establecidas en circulares o en decisiones adoptadas por la AEPD. Pero siempre que ese tratamiento no sufra ningún cambio desde que se autorizó.
• Si el tratamiento es acorde a los códigos de conducta aprobados por las autoridades de control o por la Comisión Europea. En este caso es necesario que se haya realizado previamente una EIPD para aprobar ese código de conducta y el tratamiento cumpla las garantías exigidas en esa EIPD.
• Aquellos tratamientos realizados de forma individual por profesionales autónomos. Por ejemplo, los abogados, médicos u otros profesionales de la salud. No obstante, será obligatoria la EIPD si ese tratamiento cumple dos o más de los requisitos previstos en la lista de tratamientos en los que es obligatoria su realización.
• Tratamientos referidos a la gestión interna del personal de las pymes, obligatorios por ley, y referidos a la gestión de nóminas y recursos humanos, contabilidad, salud laboral y seguridad social.
• Cuando el tratamiento se realice en cumplimiento de una obligación legal o del interés público o en el ejercicio de poderes públicos.
• Los tratamientos efectuados por las Comunidades de propietarios.
• Aquellos tratamientos realizados por asociaciones sin ánimo de lucro y colegios profesionales para gestionar los datos de sus socios. Pero siempre que esos datos no sean sensibles.

La AEPD también indica que este listado no exonera a aquellos que estén excluidos de realizar la EIPD de cumplir las demás obligaciones exigidas por la normativa de Protección de datos.

La realización de una Evaluación de impacto supone un elevado coste para la empresa por lo que la AEPD entiende que, el responsable del tratamiento debe analizar cualitativamente el tratamiento realizado y, puede decidir que no es necesario realizar esa EIPD fundamentando suficientemente su decisión.

Preguntas Frecuentes

¿Quién debe hacer una EIPD?

La Ley no establece la persona que debe encargarse de realizar la EIPD. Normalmente se realizará por el Delegado de Protección de datos, en caso de que la empresa lo tenga. También es habitual contratar el servicio con una consultora especialista en Protección de datos ya que se exigen conocimientos sobre Protección de datos y riesgos para poder realizarla.

Hace un tiempo mi Consultora de Protección de Datos me hizo una Auditoría, ¿necesito hacer una Evaluación de Impacto?

La respuesta es Sí. Las antiguas auditorías tal y como estaban planteadas han desaparecido. Actualmente es necesario hacer la EIPD, que estudiará con mucho más detalle cada uno de los aspectos de nuestro negocio relacionados con la protección de datos y los riesgos existentes.

¿Puedo hacer yo mismo la evaluación de impacto de mi negocio?

En este caso, la respuesta es No. Piensa que si la hicieras tú mismo, inevitablemente no serías objetivo con los aspectos más delicados de la protección de datos. Es importante contar con el asesoramiento de expertos en protección de datos, que puedan determinar de forma fiable qué carencias presentan nuestros protocolos y cómo podemos solventarlas para mitigar los riesgos existentes.

¿Qué puede suceder si no hago la evaluación de impacto sabiendo que estoy obligado a hacerla?

De conformidad con el artículo 73 de la nueva LOPD-GDD, sería considerado como una INFRACCIÓN GRAVE. Las sanciones por ésta clase de infracciones pueden llegar hasta los 10 millones de Euros.

Por lo tanto, debemos tener mucho cuidado con cumplir debidamente la obligaciones que tenemos como responsables del tratamiento.

Modelo de informe final de EIPD

Hace un mes la AEPD publicó un modelo de informe de EIPD dirigido a las Administraciones públicas para facilitarles la realización de las evaluaciones de impacto.

El modelo se ha elaborado a partir de la Guía sobre Evaluaciones de impacto publicada por la AEPD y con la colaboración del Ministerio de Trabajo, Migraciones y Seguridad Social.

Dentro de este modelo se incluyen todas las cuestiones que deben tenerse en cuenta para elaborar ese informe:

• Descripción del tratamiento
• Base de legitimación
• Análisis del tratamiento
• Obligación de realizar la EIPD
• Medidas para reducir los riesgos
• Plan de actuación
• Conclusiones y recomendaciones

Este modelo no se dirige a los responsables que realicen tratamientos de bajo riesgo pero, aunque no exista obligación de realizar la EIPD, esta puede llevarse a cabo con otras finalidades como:

• Realizar un estudio en profundidad de un tratamiento
• Mejorar la gestión global de los procesos de una empresa
• Crear una cultura de protección de datos
• Efectuar un ejercicio de responsabilidad proactiva

Guía AEPD de Evaluación de impacto

Aquí puedes descargarte la Guía publicada por la AEPD sobre Evaluaciones de impacto en Protección de datos.

Espero que con todo esto te haya quedado claro en qué consiste una EIPD y cuándo debes realizarla. Si tienes cualquier duda coméntame y te ayudaré.