La Evaluación de Impacto en la Protección de Datos (EIPD) en el RGPD

La Evaluación de Impacto de Protección de Datos (EIPD) fue una de las novedades introducidas por el RGPD cuando este entró en vigor en 2018. En este artículo explicaremos qué es la EIPD, cuándo hay obligación de realizarla, quién debe hacerla y cómo hacerla.

¿Qué es la Evaluación de Impacto en la Protección de Datos (EIPD)?

Una evaluación de impacto de protección de datos es, principalmente, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan y, como resultado de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

También podemos encontrarla como o evaluación de impacto RGPD o evaluación de impacto LOPD.

Una EIPD o evaluación de impacto de protección de datos es una evaluación de impacto relacionada con la privacidad y cuyo objetivo es identificar y analizar las consecuencias que determinadas acciones o actividades pueden tener para la privacidad.

¿Qué miden las evaluaciones de impacto de protección de datos?

Las evaluaciones de impacto de protección de datos miden, por tanto, el nivel de riesgo que un determinado tratamiento supone para los derechos y libertades de las personas, permiten identificar amenazas y riesgos potenciales y evaluar la probabilidad de que se materialicen y el impacto que esto tendría sobre la vida de los titulares de los datos.

Gracias a la evaluación de impacto en la protección de datos personales, el responsable del tratamiento puede diseñar y adoptar las medidas de seguridad necesarias para atenuar dichos riesgos hasta un nivel tolerable (o eliminarlos si es posible). Aunque, como veremos más adelante, la realización de la evaluación de impacto no siempre es obligatoria.

¿Cuándo hay que hacer una evolución de impacto?

El artículo 35.3 recoge las situaciones en las que hay que hacer EIPD obligatorias:

• Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas. Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
• Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado. Por ejemplo, es el caso de la elaboración de perfiles.
• Tratamiento a gran escala de datos especialmente protegidos: Si se efectúa un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores.
• Uso de tecnologías invasivas: Se van a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.
  • Videovigilancia a gran escala
  • Aeronaves no tripuladas (drones)
  • Vigilancia electrónica
  • Minería de datos
  • Biometría
  • Técnicas genéticas
  • Geolocalización

Así mismo, la AEPD facilitó una lista algo más completa con los tratamientos de datos personales que requieren una evaluación de impacto.

Por ejemplo, una EIPD sería obligatoria para un centro médico de una ciudad, puesto que realiza un tratamiento de datos a gran escala y de manera sistemática, además trata datos relativos a la salud, que son datos especialmente protegidos.

Sin embargo, en un negocio, como puede ser una pequeña tienda, que solo trata con datos personales básicos, no sería necesario hacer una EIPD, aunque sí deben hacerse los correspondientes análisis de riesgos previo a los tratamientos de datos que se vayan a realizar.

Empresas obligadas a realizar una evaluación de impacto LOPD

Aunque la obligación de realizar una evaluación de impacto LOPD no lo determina tanto el tipo de empresa, sino ciertos tipos de tratamientos de datos personales, tal y como hemos visto en el punto anterior, hay empresas que por la actividad que desarrollan y el tipo de datos de carácter personal que manejan, están obligadas a realizar evaluaciones de impacto, como son:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el RGPD también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la obligación de hacer una EIPD (como la lista de la AEPD que os hemos dejado enlazada más arriba).

¿Qué debe incluir una evaluación de impacto RGPD?

El resultado final de una evaluación de impacto RGPD no deja de ser un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar que se ha hecho la evaluación de manera adecuada.

En concreto, cualquier modelo de evaluación de impacto en protección de datos debe incluir:

• Una descripción sistemática de las actividades de tratamiento previstas y sus fines, incluido, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
• Una evaluación de la necesidad y la proporcionalidad de las actividades de tratamiento con respecto a su finalidad.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismo que garanticen la protección de datos personales.

¿Cómo se hace una evaluación de impacto LOPD?

Ahora que ya sabemos qué es una evaluación de impacto en protección de datos, veamos cómo debe hacerse.

Lo primero que debemos tener en cuenta es que una EIPD se compone de una serie de fases con el objetivo de ofrecer una visión detallada de los riesgos para la seguridad de los datos personales que puedan derivarse de una actividad de tratamiento concreta.

Lo segundo es que implica la consideración de los siguientes factores:

• La definición de quién realizará la EIPD
• Las tareas que se van a realizar y cómo se van a llevar a cabo
• La documentación de todo el proceso

Debe ser un proceso objetivo y sistemático, que garantice la homogeneidad, repetitividad y comparabilidad en la realización de la EIPD

A continuación, en esta pequeña guía de evaluación de impacto en la protección de datos, mostramos y detallamos cuáles son las fases por las que debe pasar la EIPD y cómo deben llevarse a cabo.

Te recordamos que con Atico34 puedes dejar todos estos procedimientos en nuestras manos, pero, aun así, siempre conviene estar informado.

Descripción del tratamiento e identificar la necesidad de una EIPD

Se deberá llevar a cabo un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Análisis del proyecto y flujos de información

Las autoridades de protección de datos a menudo señalan que para comprobar si una operación de tratamiento supone una medida restrictiva de un derecho fundamental, esta operación tiene que superar los tres puntos del llamado juicio de proporcionalidad:

• Juicio de idoneidad: Que la medida pueda conseguir el objetivo propuesto.
• Juicio de necesidad: Si, además, es necesaria, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
• Juicio de proporcionalidad en sentido estricto: Si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios. Un ejemplo de la Evaluación de Impacto de la Protección de Datos: usando otros datos (o menos datos), reduciendo el colectivo de personas afectadas (cuantitativa o cualitativamente hablando), usando otras tecnologías menos invasivas o aplicando otros procedimientos o medios de tratamiento modificando los inicialmente previstos, etc.

Identificación y evaluación de los riesgos

Se tiene que llevar a cabo un análisis de riesgos RGPD para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Medidas previstas para llevar a cabo el cumplimiento normativo

Una vez analizado los riesgos se deben establecer medidas para afrontarlos.

Es decir, se deben establecer garantías en función de los mismos mediante las cuales se garantice la protección de los datos personales, así como también que todos los procedimientos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Informe final: Modelo de informe final de una EIPD

Una vez que se hayan identificado todos los riesgos derivados del tratamiento y se hayan estudiado las medidas idóneas, se realizará un informe final en el que se detallará la hoja de ruta a seguir. Este informe será la base para el cumplimiento de la normativa de protección de datos, y contendrá todos los riesgos y las medidas para evitar que pongan en peligro los derechos o libertades de clientes, empleados, proveedores, socios, etc.

La AEPD publicó un modelo de Evaluación de Impacto en la Protección de Datos para ayudar a las empresas del sector privado a realizar este documento. La estructura de este modelo de informe final de una EIPD se divide en los siguientes puntos:

• Resumen ejecutivo
• Descripción del tratamiento
• Licitud del tratamiento
• Metodología de la EIPD
• Análisis del tratamiento
• Análisis de la obligación de realizar una EIPD
• Análisis de la necesidad del tratamiento
• Medidas para la reducción del riesgo
• Análisis de balance entre riesgo-beneficio
• Plan de acción
• Conclusiones y recomendaciones

Revisión

El informe final de la evaluación de impacto LOPD puede estar sujeto a posibles revisiones, para detectar fallos o aspectos a mejorar. Además, estas revisiones se han de realizar de forma periódica, para adaptar las líneas de actuación a posibles cambios en la normativa o en el propio desarrollo de las actividades de la empresa.

¿Quién realiza la evaluación de impacto LOPD?

La EIPD RGPD debe realizarla el responsable del tratamiento, asesorado por el Delegado de Protección de Datos (DPO), cuando la empresa tenga designado uno, pudiendo contar con el apoyo del encargado de tratamiento (si lo hubiese) y otro personal de los departamentos de tecnología o jurídico, por ejemplo, un abogado experto en protección de datos, o de otros departamentos que puedan estar implicados en el tratamiento.

Aunque el responsable del tratamiento es quien tiene la obligación de hacer la EIPD, la normativa permite que esta pueda llevarse a cabo por un servicio externo especializado en protección de datos, dada la complejidad que puede llegar a suponer su realización.

Respecto al papel del Delegado de Protección de Datos con respecto a las EIPD: En primer lugar, hay que decir que el RGPD determina que cuando el responsable de protección de datos debe llevar a cabo una EIPD tiene que buscar el asesoramiento del Delegado de Protección de Datos.

Este apoyo lo podemos entender tanto como una intervención activa en el diseño y ejecución de la evaluación, con funciones de coordinación o de interlocución principal con los evaluadores, o bien de colaboración con el evaluador, si resulta que no tiene que asumir un papel principal en la EIPD.

En este último caso queda como persona de contacto relevante dentro de la organización y tiene que atender las consultas y dar el apoyo que el responsable del tratamiento determine en cada caso.

Sanciones por no realizar la EIPD cuando hay obligación de hacerla

No realizar la EIPD cuando hay obligación de hacerlo está calificado como infracción grave en el artículo 73 de la LOPDGDD, por lo que las sanciones que se pueden imponer van de los 40.001 euros a los 300.000 euros.

¿Necesita tu empresa realizar evaluaciones de impacto en protección de datos? Grupo Atico34 puede ayudarte

¿No te queda claro si debes realizar una evaluación de impacto en la protección de datos personales? ¿No sabes cómo llevarla a cabo? No te preocupes, puedes recurrir a los servicios de una consultoría de protección de datos, como Grupo Atico34, y contratar protección de datos con nosotros; tenemos más de 12 años de experiencia haciendo que empresas de todos los tamaños y sectores cumplan con la ley de protección de datos.

Nuestro equipo de expertos se encargará de analizar tu negocio y de determinar los riesgos derivados del tratamiento de datos personales.

No solo te decimos si es necesario que lleves a cabo la evaluación de impacto, sino que nos encargamos de todo el proceso para que no tengas que preocuparte de nada.

Ponte en contacto con nosotros y descubre cómo podemos ayudarte.