Evaluación de Impacto sobre la Protección de Datos, ¿cuándo estoy obligado?

Una de las novedades del nuevo Reglamento Europeo en materia de Protección de Datos (de aplicación a partir de mayo) es la obligación de realizar una Evaluación de Impacto. Pero ¿cuándo estoy obligado? A continuación analizaremos los diversos supuestos tasados por la normativa europea.

La nueva filosofía europeísta en materia de protección de datos, aboga por la denominada “responsabilidad proactiva”. Es decir, la idea es que las Compañías realicen procedimientos de autoanálisis y adopten con carácter previo al tratamiento las medidas de seguridad idóneas a la naturaleza de los datos tratados.

En este nuevo espíritu de la materia, el Reglamento Europea obliga a las Compañías que tratan grandes volúmenes de datos o datos especialmente sensibles la realización de esta Evaluación. Se trata de un informe que obliga a realizar un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos de los afectados cuyos datos se tratan. Como consecuencia de dicho análisis, la Compañía deberá adoptar las medidas necesarias para mitigar o eliminar los daños que se hayan identificado.

Supuestos en los que el Reglamento Europeo (Art. 35) exige una Evaluación de Impacto:

1º. Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a si emplean nuevas tecnologías o por su naturaleza, su alcance, o por sus fines.

Se trata de los supuestos de monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo; la evaluación de la personalidad o de la situación financiera, familiar, gustos, aficiones y las que impliquen el tratamientos de datos especialmente protegidos.

2º. Evaluación sistemática y exhaustiva de aspectos personales de la personas físicas

Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de la personas físicas. Por ejemplo, la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos.

3º. Categorías especiales de datos

Cuando se realice un tratamiento a gran escala de categorías especiales de datos (datos relacionados con política, religión, salud, entre otros). Sin embargo, no será obligatorio, cuando un médico, o un abogado traten datos de sus pacientes o clientes.

4º. Observación sistemática a gran escala de una zona de acceso público

Cuando se realice una observación sistemática a gran escala de una zona de acceso público. Por ejemplo, en el caso de los dispositivos optoelectrónicos (convierten las señales ópticas en electrónicas y viceversa) los cuales tienen aplicaciones que se utilizan en productos de consumo masivo.

El Reglamento Europeo señala en el citado artículo, que la Autoridad de control, es decir, Agencia Española de Protección de Datos (AEPD) deberá publicar una lista con los tipos de operaciones de tratamiento que requieran una Evaluación de Impacto. De momento, y hasta la aprobación de estas directrices específicas, debemos destacar, un breve resumen de la serie de situaciones para las que se entiende aconsejable realizar una Evaluación para la AEPD. En la línea del Reglamento europeo, incluye: los tratamientos significativos no incidentales de datos de menores; el tratamiento de datos personales masivos (Big Data), el internet de las cosas, la construcción de ciudades inteligentes; la video vigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la geolocalización…

En general aquellos que traten un gran volumen de datos, traten datos especialmente protegidos, o utilicen formas de contacto especialmente intrusivas.

Conclusión

En conclusión, las Evaluaciones de Impacto están previstas para los tratamientos de datos que impliquen un alto riesgo en los derechos y libertades del individuo. La normativa presume este riego en las categorías especiales de datos, cuando afectan a menores o cuando el tratamiento evalúa aspectos personales con el fin de la creación de perfiles.

Enlaces de interés

Sanciones por Inadaptación al Reglamento de Protección de Datos

Sanciones por inadaptación al nuevo Reglamento de Protección de Datos