De sobra por todos es ya sabido que el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) recoge entre sus múltiples preceptos medidas específicas tendentes a reforzar la seguridad y garantizar una mayor protección por parte de los responsables y encargados de los tratamientos de datos personales de los interesados que llevan a cabo en el marco de sus respectivas actividades.

Una de dichas medidas, recogida en el artículo 35.1 RGPD e íntimamente ligada al principio de responsabilidad activa, es la Evaluación de Impacto relativa a Protección de Datos (EIPD).

La EIPD se configura como un análisis previo de la adecuada gestión de los riesgos que presenta un determinado tratamiento de datos personales, con el fin de asegurar que, con carácter preventivo, se implementan las medidas necesarias que permitan garantizar tanto el cumplimiento de los requisitos exigidos por el RGPD como los derechos y libertades de las personas físicas.

En particular, la EIPD resulta exigible en determinados supuestos de «alto riesgo», a saber:

a) Aquellos explícitamente recogidos por el RGPD en su artículo 35.3:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
  • Observación sistemática a gran escala de una zona de acceso público.

En lo que respecta a la aplicación del artículo 35.3 RGDP puede resultar de especial interés los criterios que establece el Comité Europeo de Protección de Datos (anterior Grupo de Trabajo del Artículo 29) en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 (cuyo contenido – en español – puede consultarse en el siguiente enlace).

b) Por su parte, la Agencia Española de Protección de Datos (AEPD) publicó el pasado mes de mayo un listado que recoge determinados criterios que exigen, en caso de cumplirse dos o más de ellos, que el tratamiento de datos personales deba someterse a una EIPD. Sin perjuicio de que dicho listado sea orientativo (y por tanto no exhaustivo), consideramos relevante destacar los siguientes tratamientos de datos personales identificados como de mayor riesgo por parte de la AEPD:

  • Tratamientos que impliquen perfilado o valoración de los interesados en múltiples ámbitos de su vida (p.ej. desempeño en el trabajo, personalidad, comportamiento) que cubran varios aspectos de su personalidad o hábitos.
  • Tratamientos que impliquen el uso de categorías especiales de datos (ex. artículo 9.1 RGPD), datos relativos a condenas o infracciones penales (ex. artículo 10 RGPD), o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  • Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluidos menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  • Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

Para consultar el listado completo de tratamientos haga click aquí.

Con el fin de ayudar a las organizaciones españolas en la implementación de una metodología apropiada que les permitan realizar las EIPD conforme a los requerimientos del RGPD y así identificar, evaluar y tratar potenciales riesgos mediante la elaboración de un plan de acción, la AEPD cuenta con una Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD y una Guía práctica de Análisis de Riesgos en los Tratamientos de Datos Personales sujetos al RGPD.

Dichos documentos, junto con la puesta a disposición de la herramienta Gestiona EIPD, pueden servir como una primera aproximación a la orientación en la toma de decisiones relacionadas con el cumplimiento de lo previsto en el RGPD y la determinación (o no) de la suficiente viabilidad para llevar a cabo un particular tratamiento de datos.