EVALUACIÓN DE IMPACTO: Qué, cómo y cuándo

La Agencia Española de Protección de Datos (AEPD) acaba de publicar una lista de las actividades de tratamiento de datos personales para las que no es obligatorio llevar a cabo una evaluación de impacto con el objetivo de, en palabras de la propia AEPD, «facilitar a los responsables la identificación de este tipo de tratamientos».

Pero, vayamos por partes, porque con tanta novedad legislativa y nominal es posible que no tengamos muy claro qué es eso de la evaluación de impacto. Como sabemos -y esto es algo que no nos cansamos de repetir a nuestros clientes cuando se interesan por nuestros servicios de adaptación de su negocio al nuevo Reglamento de Protección de Datos- el RGPD se apoya en unos pocos principios muy básicos y uno de ellos es la responsabilidad proactiva. Como dispone el artículo 5 del RGPD en su apartado segundo: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 [este apartado nos dice la forma en que deben ser tratados los datos personales] y capaz de demostrarlo”. Este principio se traduce en la exigencia de que las empresas se preocupen por analizar qué datos tratan, con qué finalidad lo hacen y qué tipo de actividades de tratamiento realizan. Partiendo de este ejercicio de análisis, las empresas han de determinar expresamente la manera en que aplicarán las medidas que el RGPD exige asegurándose de que esas medidas son las adecuadas y de que pueden demostrarlo ante los interesados y ante la Agencia Española de Protección de Datos.

Existen, por tanto, unas medidas -y no todas son obligatorias para todas las empresas-, que garantizan la capacidad del responsable del tratamiento de datos de demostrar y aportar evidencias del cumplimiento de la protección de datos (ver: art. 24 RGPD). Entre tales medidas se encuentra la Evaluación de Impacto (EIPD) que deberemos realizar “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas” (art. 35 RGPD).

Gráfico: ayudaleyprotecciondatos.es

Pero, ¿qué es la dichosa Evaluación de Impacto?

Lo cierto es que el RGPD no define formalmente el concepto de EIPD de manera expresa pero, en el apartado séptimo de su artículo 35, especifica su contenido de la manera que sigue:

“a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.“

El considerando 84 nos aterriza un poco más las obligaciones que se desprenden de esta EIPD al disponer que: “El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento”.

En conclusión, y siguiendo el documento WP248 del GT29, diremos que la EIPD es un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos. En otras palabras, se trata de un proceso utilizado para reforzar y demostrar el cumplimiento de la protección de datos

Entonces, ¿estoy obligado a hacer una EIPD?

De acuerdo con el enfoque basado en el riesgo introducido por el RGPD, no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento, sólo, insistimos, cuando sea probable que el tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas”. La respuesta a la pregunta planteada más arriba es fundamental, no sólo porque no cumplir con la realización de la EIPD estando obligado a ello implicaría exponer datos personales de terceros a un alto riesgo -reflexión que se muestra autoevidente si volvemos a leer artículo 35.1 RGPD- sino por las consecuencias aparejadas a un deficiente cumplimiento de esta obligación. No realizar una EIPD cuando tratamiento requiera una evaluación de este tipo (artículo 35, apartados 1, 3 y 4), llevar a cabo una EIPD de forma incorrecta (artículo 35, apartados 2, 7, 8 y 9) o no consultar a la autoridad de control competente cuando sea necesario (artículo 36, apartado 3, letra e) puede dar lugar a una multa administrativa de hasta 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la multa de mayor cuantía.

Para facilitar el cumplimiento del RGPD y evitar que cunda el pánico ante tan exorbitantes sanciones, el propio Reglamento prevé que la autoridad de control (las Agencias de Protección de Datos de cada país de la UE) publiquen listas señalando los tipos de operaciones de tratamiento que requieran una evaluación de impacto y, asimismo, la posibilidad de que tales autoridades de control publiquen análogas listas de actividades de tratamiento que no requieran una EIPD.

Cuándo no se requiere EIPD

Esto es lo que ha hecho ayer la Agencia Española de Protección de Datos publicando un breve y conciso documento. La lista en cuestión, se basa en el documento WP248 anteriormente citado y apuesta por un concepto extensivo de dato personal lo que significa que se debe considerar que se tratan datos de carácter personal por defecto y no asumir, a priori, que no se pueda dar dicha categoría a los datos tratados.

La lista puede ayudar a tranquilizar a ciertos profesionales de ciertos sectores (medicina, abogacía, fisioterapia…) que por su actividad laboral tratan datos personales que requieren una mayor protección, pero que, a la vista de este listado, no van a tener que preocuparse de realizar una EIPD en todos los casos. La lista es la siguiente:

1. Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.

3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.

4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.

5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.

6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.

7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

Cuándo se requiere EIPD

Para completar este artículo vamos a referir el listado de actividades de tratamiento que sí traen como consecuencia la obligación de realizar una EIPD. La AEPD, cumpliendo con el precepto de la RGPD, publicó durante esta misma primavera el siguiente listado que, tal y como nos advierte la propia Agencia, debemos considerar «no exhaustivo»:

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Fuentes: RGPD, AEPD