Hoy en día parece que no se puede llevar a cabo un tratamiento de datos sin una previa evaluación de impacto de protección de datos (“EIPD”). En muy poco tiempo hemos pasado de la aprensión a las EIPD (no vaya a parecer que el tratamiento previsto es “peligroso”), a que todo tratamiento esté respaldado por la EIPD (como una suerte de escudo protector). Como siempre, la virtud está en el término medio y ya hemos tratado este tema en anteriores entradas de este blog (en concreto, véanse Evaluaciones de Impacto: Tratamientos que entrañan un alto riesgo para los derechos y libertades de las personas y Evaluaciones de Impacto: Tratamientos que no requieren llevar a cabo dichos procesos).

Centrándonos en la presente entrada, hace unos días la AEPD ponía a disposición del sector privado un modelo de informe de EIPD (“Modelo”). Consciente de la importancia que tiene la realización de la EIPD y su uso extendido, la AEPD ha querido facilitar a las empresas un recurso mediante el cual poder cumplir con las obligaciones del artículo 35.1 del RGPD, intrínsecamente relacionadas con el principio de accountability. Cabe destacar que la AEPD considera que el Modelo puede ser utilizado para todo tipo de tratamientos, independientemente de que supongan o no un alto riesgo para los individuos (si bien, cuando no sea exigible una EIPD, su uso y contenido podrá ser más flexible y no atarse al art. 35 del RGPD).

Entrando en lo que es el Modelo en sí, la AEPD lo ha dividido en los siguientes apartados:

Apartado Contenido
Descripción del tratamiento
  • Fecha de la EIPD
  • Nombre y descripción del tratamiento (incluyendo información del art. 30 del RGPD)
  • Categorías de datos afectados
  • Responsable del tratamiento
  • Terceros implicados
  • Contexto interno del tratamiento (estructura de la organización, funciones, competencias, políticas, etc.)
  • Contexto externo del tratamiento (entorno en el que se lleva a cabo el tratamiento)
Licitud del tratamiento y cumplimiento normativo
  • Base jurídica del tratamiento y, en su caso, normas y/o supuestos habilitantes

La AEPD recomienda para completar este apartado acudir a la lista de cumplimiento normativo

Metodología de la EIPD
  • Equipo de trabajo (funciones, roles, etc.)
  • Recursos utilizados (guías, normas, dictámenes, etc.)
  • Ámbito y alcance de la EIPD
Análisis del tratamiento
  • Identificación de elementos de riesgo en cada una de las fases del tratamiento (recogida, clasificación, almacenamiento, uso y destrucción)
Análisis de la obligación de realizar una EIPD
  • Determinación de si el tratamiento se encuentra entre aquellos que requieren una EIPD o no (comprobación de listas y supuestos legales)
  • Evaluación del riesgo del tratamiento independientemente de que se requiera o no una EIPD
Análisis de la necesidad de tratamiento
  • Juicio de idoneidad y necesidad
  • Beneficios para los interesados
  • Beneficios para el responsable del tratamiento
  • Alternativas al tratamiento y razones por las que no se han escogido
Medidas para reducir los riesgos
Análisis del balance entre riesgo-beneficio
  • Juicio de proporcionalidad
Plan de acción
  • Diseño de las medidas a implementar para gestionar el riesgo
  • Determinar acciones de seguimiento
Conclusiones y recomendaciones
  • Explicación del resultado final de la EIPD
  • Determinación de necesidad o no de consulta previa
  • Anexos
  • Firma de la EIPD

Lo interesante del Modelo es la cantidad de ejemplos que incluye en las secciones de beneficios para la entidad y para los interesados, así como en las alternativas al tratamiento y las distintas medidas para la reducción del riesgo.

Más información:

Junto al mencionado Modelo, la AEPD ya ha publicado otros recursos y guías para realizar una EIPD, así como una sección en su página web dedicada a esto. En concreto: la Guía para el Análisis de Riesgos, la Guía práctica para las Evaluaciones de Impacto de Protección de Datos y la Herramienta para la realización del análisis de riesgos y la evaluación de impacto para la protección de datos.

Finalmente, la AEPD recuerda que también ha publicado una actualización del modelo orientado a Administraciones Públicas.