El Reglamento Europeo de Protección de Datos paso a paso VII: La Evaluación de Impacto relativa a la protección de datos

por Jorge Campanillas Ciaurriz

publicado el 16 junio 2016

Categorías: Abogado / Abogados / Abogados internet / Abogados LOPD / Abogados nuevas tecnologías / Derechos Fundamentales / Intimidad / LOPD / Normativa / Protección de Datos / Tecnología

El Reglamento Europeo de Protección de Datos paso a paso VII: La Evaluación de Impacto relativa a la protección de datos.Poco a poco vamos acabando ya la serie de post donde estamos analizando los aspectos más importantes del Reglamento Europeo de Protección de Datos, en las anteriores entradas hemos hablado sobre la importante figura del Delegado de Protección de Datos (DPO), las brechas de seguridad, el responsable y el encargado de tratamiento, la privacidad de datos desde el diseño y por defecto, los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido.

En este caso vamos a abordar otro aspecto novedoso y muy a tener en cuenta por aquellas entidades u organizaciones que vayan a tratar una gran cantidad de datos personales con diferentes afecciones en los interesados o que afecten a datos especialmente protegidos (como hemos reiteraod en diferentes ocasiones, datos de salud, ideología, etc.). La evaluación de impacto quizá tenga como ejemplo aquella que se realiza ya en obras públicas y que se refiere al impacto ambiental, es decir, hacer pensar a la organización y minimizar en todo lo posible las afecciones de los tratamientos, en este caso, en los derechos fundamentales como es la protección de datos de los interesados.

Por ello, el legislador ha establecido la obligación de realizar una evaluación de impacto relativa a la protección de datos en particular a aquellos que:

• Vayan a realizar tratamientos automatizados de las personas, como elaboración de perfiles y que produzcan efectos jurídicos en los afectados.
• Tratamiento a gran escala de datos especialmente protegidos
• Observación sistemática a gran escala de una zona de acceso público

Si bien estos 3 grupos en particular tienen la obligación de realizarla, también tendrán que hacerlo aquellos responsables que vayan a realizar un tratamiento a gran escala, por supuesto con tecnología y que entrañe un alto riesgo para las personas.

Para determinar si un tratamiento requerirá o no dicha evaluación el reglamento que las autoridades de control podrán publicar listas de tratamientos que deberán tener esta evaluación y aquellos que no.

La Evaluación de Impacto deberá tener como mínimo, además del asesoramiento del DPO (Delegado de Protección de Datos):

• Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, el interés legítimo perseguido.
• Evaluación de la necesidad y la proporcionalidad del tratamiento con respecto a su finalidad;
• Evaluación de los riesgos para los derechos y libertades de los interesados
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
• Incluso, cuando proceda, opinión de los interesados o sus representantes (asociaciones sin ánimo de lucro, etc).

Si una evaluación de impacto muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.