Evaluación de impacto y autorización previa de las autoridades de control en el futuro reglamento europeo de protección de datos personales (1/2)

por Jorge Campanillas Ciaurriz

publicado el 3 octubre 2013

Categorías: Derechos Fundamentales / Normativa / Protección de Datos

Mucho se está hablando sobre el futuro reglamento europeo de protección de datos personales (si es que al final se aprueba, o se aprueba tal y como está), sobre todo en cuanto al derecho al olvido y la supresión de datos (veremos como queda esta figura ficticia), la figura del DPO o delegado de protección de datos (que se está motrando como una profesión de futuro para los profesionales de la LOPD) o todo aquello relativo a la aplicabilidad de la normativa a las grandes multinacionales del dato que se encuentran fuera de la Unión Europea, etc. Sin embargo, hay aspectos del reglamento que han pasado, quizá, más desapercibidos pero que tienen una importancia mayúscula en cuanto a sus implicaciones, futuro para los profesionales de la protección de datos y poder para las autoridades de control. En este caso me refiero a los artículos 33 y 34 del borrador del reglamento. En dichos artículos se recogen las figuras de la evaluación del impacto del tratamiento de datos y la autorización previa de las autoridades de control para el tratamiento de ciertos datos personales.

Hasta la actualidad cualquier persona o entidad podía desarrollar su aplicación (o realizar un tratamiento de datos) sin más necesidad que programarlo, asesorarse debidamente en protección de datos si es que se iba a hacer un tratamiento de los mismo (cosa que hace unos años sinceramente no se producía) y en su caso no verse afectado por ningún procedimiento sancionador de la Agencia de Protección de Datos correspondiente; no tener ningún agujero de seguridad que apareciese en los medios de comunicación, o modificar las políticas de privacidad conforme a las quejas/sugerencias de los ciudadanos/usuarios.

Con el futuro reglamento esta situación va a cambiar y como digo van a  tener más protagonismo tanto los profesionales de la protección de datos como las autoridades de control, puesto que se va a obligar a realizar una evaluación del impacto del tratamiento de datos (al estilo de las evaluaciones de impacto ambientales que deben acompañar a cualquier proyecto urbanísitico) y en su caso, una autorización previa de las autoridades de control para el tratamiento de ciertos datos personales.

El informe de evaluación de impacto será obligatorio para el responsable de tratamiento (o en su caso por el encargado dirigido por el responsable), según el artículo 33 cuando entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, es decir:

la evaluación sistemática y exhaustiva de los aspectos personales propios de una persona física o destinada a analizar o a predecir, en particular, su situación económica, localización, estado de salud, preferencias personales, fiabilidad o comportamiento, que se base en un tratamiento automatizado y sobre la base de la cual se tomen medidas que produzcan efectos jurídicos que atañan o afecten significativamente a dicha persona; el tratamiento a gran escala de información sobre la vida sexual, la salud, la raza y el origen étnico o destinada a la prestación de atención sanitaria, investigaciones epidemiológicas o estudios relativos a enfermedades mentales o infecciosas, cuando los datos sean tratados con el fin de tomar medidas o decisiones sobre personas concretas;

el seguimiento de zonas de acceso público, en particular cuando se utilicen dispositivos optoelectrónicos (videovigilancia) a gran escala

el tratamiento de datos personales en ficheros a gran escala relativos a niños, o el tratamiento de datos genéticos o biométricos 

otras operaciones de tratamiento para las cuales sea necesaria la consulta de la autoridad de control con arreglo a lo dispuesto en el artículo 34, apartado 2, letra b).

Está claro que el legislador está pensando esta evaluación de impacto para los datos que se consideran de nivel alto, esto es, los datos más sensibles y dignos de protección.Y llama la atención la inclusión (tal y como comentó Iñaki Pariente en la jornada sobre firmas biométricas) la inclusión de los datos biométricos como datos de especial protección, esto puede tener sus implicaciones para las nuevas tecnologías que , por ejemplo está implantando Apple en sus dispositivos y que seguramente se generalicen en un futuro muy cercano.

El informe de evaluación deberá contener como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos  personales y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. Además, el responsable del tratamiento recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

Este informe deberá ser facilitado a las autoridades de control así como todo la información que solicite las autoridades de control. Se entiende que el informe se remitirá en cualquier caso y previo a la puesta en funcionamiento del sistema, a diferencia del sistema actual que el documento de seguridad sólo se facilita a las agencias de protección de datos cuando lo soliciten en caso de inspección.

En otro post analizaremos el control previo de las autoridades de control.