Hasta que se publicó el Reglamento General de Protección de Datos[1] (RGPD), la normativa europea no hacía mención expresa alguna a las evaluaciones de impacto en protección de datos o a las evaluaciones de impacto de privacidad. El mencionado Reglamento las regula por primera vez y, si bien en otros países existe más conocimiento y desarrollo de esta figura, en España podemos decir que estamos en una etapa algo temprana al respecto.
Sin embargo, tal y como ha indicado la Agencia Española de Protección de Datos (AEPD), conviene aprovechar el tiempo que queda hasta la efectiva aplicación del RGPD, en mayo de 2018, para ir adaptándose a este nuevo marco legal, a fin de que, llegado ese momento, las organizaciones se encuentren en el mayor grado posible de cumplimiento.
Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.
El principal objetivo de toda EIPD es reducir los riesgos para la protección de los datos personales y para otros derechos que puedan verse afectados como consecuencia del tratamiento de los datos de carácter personal. En consecuencia, el análisis de los riesgos y la medición de éstos, es una parte importante de toda evaluación de impacto. Sin embargo, no es la única y, además, en el caso de las EIPD, el análisis de riesgos debe llevarse a cabo con ciertas particularidades que lo distinguen de otro tipo de análisis de riesgos que puede convenir realizar también en la organización.
A su vez, con una EIPD se pueden obtener otros beneficios o ventajas como, por ejemplo, entender mejor lo que implica la protección de datos, conseguir una gestión más eficaz de los activos y procesos de la entidad, ayuda a la continuidad del negocio y, entre otras cosas, facilita también el cumplimiento de otras muchas obligaciones requeridas por el RGPD.
Ahora bien, las evaluaciones de impacto en protección de datos no son únicamente una herramienta muy útil y conveniente, sino que resultan obligatorias para organizaciones que lleven a cabo determinadas operaciones de tratamiento de datos. Los supuestos que el Reglamento contempla como obligatorios son aquellos en que se produzcan:
a) decisiones automatizadas, que originen efectos jurídicos hacia el interesado (persona a quien corresponden los datos personales) o le afecte significativamente,
b) tratamientos a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas,
c) observación sistemática a gran escala de una zona de acceso público,
d) operaciones que, a criterio de la autoridad de control competente, impliquen un alto riesgo para los derechos de los interesados y
e) cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines, implique un alto riesgo para los derechos y libertades de las personas físicas, y en particular si utiliza nuevas tecnologías.
El RGPD no nos ofrece muchas pistas sobre cómo llevar a cabo estas evaluaciones de impacto, y las guías y metodologías existentes hasta ahora eran pre-reglamento. Por tanto, se hace necesario abordar una metodología que abarque todas las fases necesarias y, dentro de cada una de éstas, los pasos a dar para que, cumpliendo con las exigencias del Reglamento, se pueda, en definitiva y resumen:
- Identificar cada uno de los riesgos existentes dentro de cada tipo de riesgos que se puedan clasificar.
- Evaluar adecuadamente cada uno de estos riesgos en función de su origen, naturaleza, particularidad y de su probabilidad y gravedad para los derechos y libertades de los interesados.
- Conocer las opciones existentes ante cada uno de estos riesgos.
- Y finalmente decidir qué medida adoptar al respecto para evitar o mitigar los mismos.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Apúntate al webinar "Las Evaluaciones de Impacto en Protección de Datos (EIPD) tras el nuevo Reglamento europeo", que Formación Lefebvre - El Derecho organiza el próximo 17 de mayo. Inscríbete aquí.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación