Evaluación de Impacto DPIA: qué es y cuándo es necesaria en protección de datos

¿Te imaginas que una entidad bancaria no tenga idea de los riesgos que supone el tratamiento de datos personales de sus clientes? ¿Y que, al ignorarlos, no implemente todas las medidas de seguridad necesarias para evitar que se divulguen o caigan en manos de ciberdelincuentes? Para tu tranquilidad, tanto bancos como empresas e instituciones de otros sectores que operan en la Unión Europea deben regirse por el Reglamento General de Protección de Datos (RGPD). Este instrumento legal establece las pautas y las obligaciones que deben cumplir los responsables y encargados del tratamiento de datos. En especial, la posible obligatoriedad de realizar una evaluación de impacto relativa a la protección de datos (EIPD). Lo que dependerá de si se trata de un tratamiento que, por su naturaleza, alcance, contexto o propósitos, implique un alto riesgo para los derechos y libertades de tus clientes.

Seguramente, tu banco tuvo que realizar esta evaluación, así que, reiteramos, debes estar tranquilo. Pero, supongamos que eres tú quien inicia un negocio con el necesario apoyo de Internet y necesitas gestionar una base de datos. En este caso, debes saber si esta evaluación aplica al tipo de tratamiento que pondrás en práctica antes de iniciar el mismo. Esto es lo que te explicaremos en este artículo.

¿Qué es la Evaluación de Impacto (EIPD)?

La evaluación de impacto es un procedimiento preventivo mediante el que podemos identificar y valorar los riesgos que conlleva un tratamiento de datos personales determinado. En concreto, la finalidad de este examen es implementar las medidas precisas para eliminar o minimizar tales riesgos antes de iniciar el tratamiento. La EIPD está prevista en el artículo 35 del RGPD. Allí, refiere el riesgo potencial del tratamiento realizado con nuevas tecnologías.

En contexto, la evaluación de impacto está vinculada con los principios de responsabilidad proactiva y de protección de datos desde el diseño. Ambos están establecidos en el RGPD (artículos 24 y 25) y destacan la obligatoriedad del responsable del tratamiento sobre la aplicación de las medidas técnicas y organizativas necesarias que demuestren y garanticen el cumplimiento de esta normativa respecto a la seguridad de los datos.

Antes de continuar, debes saber que la evaluación de riesgos no es lo mismo que el análisis de riesgos. Este último es un estudio previo que determina las pérdidas potenciales generadas por la amenaza y el coste que tendrán las medidas de protección de los datos personales procesados. Por su parte, la evaluación de impacto tiene el foco en:

• Definir el impacto de amenazas que puedan comprometer los datos tratados por la organización.
• Identificar los recursos disponibles.
• Valorar los dispositivos y controles de seguridad.
• Comprobar la efectividad de los anteriores aspectos para afrontar las amenazas identificadas.

¿Qué empresas están obligadas a realizar esta evaluación?

En su condición de autoridad de control garante del cumplimiento del RGPD en España, la Agencia Española de Protección de Datos (AEPD) estableció y publicó una lista de las clases de tratamiento que requieren una evaluación de impacto. Basados en esta, el procedimiento que nos ocupa aplicaría en tu empresa si su tratamiento de datos implica uno o varios de los siguientes supuestos:

• Perfilar y valorar individuos, incluyendo la recolección de datos de estos en varios aspectos de su vida. Entre ellos, su desempeño laboral, personalidad, comportamientos y hábitos.
• La toma de decisiones automatizadas o que influyan considerablemente en dichas decisiones. Esto abarca cualquier decisión que impida al interesado ejercer sus derechos o tener acceso a bienes o servicios o formar parte de un contrato.
• Por igual, aplicará la evaluación a los tratamientos que entrañen observar, monitorizar, supervisar, geolocalizar o controlar al interesado de manera exhaustiva y sistemática. Lo anterior incluye la recolección de datos y metadatos mediante aplicaciones, redes y en zonas de acceso público. También entran en este tipo de tratamiento el procesamiento de indicadores únicos que faciliten la identificación de usuarios de servicios en línea, como servicios web, aplicaciones móviles, televisión interactiva y otros.

Otros tratamientos que necesitan evaluación

• Asimismo, requieren el mencionado procedimiento aquellos tratamientos que usen las categorías de datos especiales referidos en el artículo 9.1 del RGPD. Es decir: que revelen el origen étnico, opiniones políticas, convicciones religiosas o filosóficas y/o afiliación sindical. Más aún los tratamientos de datos genéticos y/o biométricos que permitan identificar de manera unívoca a un individuo. O bien datos relacionados con la salud, vida sexual u orientación sexual de personas. Por otra parte, también aplica al tratamiento de datos sobre condenas e infracciones penales (artículo 10). O de aquellos que permitan conocer la situación financiera y patrimonial o deducir información sobre categorías especiales de datos de las personas.
• En general, igualmente requieren una evaluación de impacto los tratamientos de datos a gran escala (mediante Big Data) o que requieran la asociación, combinación, cruce o enlace de bases de datos de dos o más tratamientos con propósitos diferentes o con responsables distintos.
• Lógicamente, están incluidos los tratamientos de datos de personas vulnerables o en riesgo de exclusión social y menores de 14 años; además de la información obtenida sobre mayores de edad parcial o totalmente discapacitados o personas que acceden a servicios sociales. También de víctimas de violencia de género, sus descendientes y personas que estén bajo su guardia y custodia.

Ejemplos

Si quieres conocer la lista completa, puedes revisarla en este enlace de la AEPD. Ahora bien, es importante que conozcas algunos ejemplos de las empresas u organizaciones que realizan este tipo de tratamiento de datos:

• Bancos y aseguradoras que requieren analizar a sus clientes para tramitar créditos y pólizas.
• Un hospital o clínica, antes de utilizar una nueva base de datos con historias médicas de sus pacientes.
• Centros comerciales o sitios públicos que requieran el uso de cámaras de seguridad.

La evaluación de impacto no es obligatoria para datos gestionados por profesionales autónomos, incluyendo médicos de familia, porque el número de clientes es limitado.

¿Qué debe incluir una Evaluación de Impacto EIPD?

De acuerdo con el apartado 7 del artículo 35 (RGPD), una evaluación de impacto debe incluir como mínimo:

1. La descripción sistemática de todas las operaciones de tratamiento planificadas y de los propósitos del tratamiento. Incluso, si el interés legítimo del responsable es procedente.
2. Una evaluación de la necesidad y la proporcionalidad de las acciones de tratamiento en consonancia con sus objetivos.
3. La identificación y valoración de los riesgos para los derechos y libertades de los interesados referidos en el apartado 1.
4. Descripción de las medidas previstas para enfrentar los riesgos. Esto abarca las garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales y para demostrar el cumplimiento con el presente Reglamento. Todo ello, considerando los derechos e intereses legítimos de los interesados y de terceras personas afectadas.

¿Cómo se realiza una Evaluación de Impacto?

En resumen, si necesitas hacer una evaluación de impacto relacionada con la protección de datos de tu empresa, debes seguir los siguientes pasos:

1. Analizar ampliamente el proyecto, detallando: categorías de datos a tratar, quiénes son los usuarios, cómo son los flujos de información y qué tecnologías usarás. Como resultado, este análisis debería plasmar entre otros aspectos:

• Los objetivos del tratamiento.
• Actores y personal involucrados.
• Categorías de datos a tratar.
• Tecnologías empleadas.
• La comunicación con terceros.

2. Determinar la pertinencia de emplear o no todos los datos.

3. Accesibilidad y uso de los datos por parte del personal, de acuerdo a las categorías.  

4. Identificar y analizar los riesgos que puedan afectar eventualmente la protección de datos de los interesados. En esta perspectiva, debes valorar las probabilidades de materialización y el impacto de los mismos. Dichos riesgos pueden ser:

• Violación de los derechos de los usuarios.
• Pérdida de datos personales y sensibles.
• Daños por utilización ilícita o fraudulenta de la información.

5. Identificar los controles y medidas requeridas para eliminar, mitigar, transferir o aceptar los riesgos identificados.

6. Incorporar y/o poner en práctica las soluciones que garanticen la protección de datos. Para ello, ha de tenerse en cuenta la legislación pertinente (RGPD y LOPDGDD, esencialmente).

7. Por último, redactar y presentar el informe a la autoridad de control.

Papel del Delegado de Protección de Datos

Si tu empresa nombra un Delegado de Protección de Datos (DPO), de acuerdo con el artículo 37 del RGPD, tendrás una ventaja. Porque entre las funciones de este comisionado está la de ofrecer el asesoramiento necesario sobre la evaluación de impacto relativa a la protección de datos. También, supervisará la aplicación de dicho proceso de conformidad con el artículo 35.

Las evaluaciones de impacto forman parte de nuestros servicios

¿Crees o estás seguro de necesitar la evaluación descrita para el tratamiento de datos en tu empresa? En Legal Veritas despejamos tus dudas y te proporcionamos la asesoría que requieras. Somos consultores legales y proveedores de servicios y recursos para adaptar páginas web, ecommerce y otras plataformas digitales a las normativas de protección de datos. Por eso, estamos capacitados para apoyarte en la ejecución tanto del análisis como de la evaluación de impacto, de acuerdo al tipo tratamiento previsto. ¡Consúltanos ahora!