A través de varios artículos y diferentes perspectivas, hemos estado tratando el Reglamento General de Protección de Datos (RGPD). Aunque aún no habíamos comentado una de las principales novedades que ha incorporado esta nueva normativa: la EIPD, cuyas siglas corresponden a la Evaluación de Impacto en la Protección de Datos. En este artículo os explicaremos qué es una EIPD, cuál es su finalidad y cómo debe realizarse.
Qué es una EIPD: claves y ámbito de aplicación
Como comentábamos, las siglas EIPD significan “Evaluaciones de Impacto de Protección de Datos”. Esta novedad, que se encuentra dentro del artículo 35, exige a las empresas a realizar un ejercicio de análisis de los riesgos previo de aquellos tratamientos que puedan poner en riesgo los derechos y las libertades de las personas físicas. Es decir, la persona encargada del tratamiento de protección de datos, deberá responsabilizarse de tomar las medidas necesarias para determinar los posibles riesgos que puedan originarse y reducirlos al máximo mediante una evaluación previa.
Si bien no es obligatorio (pero sí recomendable) realizar una EIPD en cada nuevo tratamiento, la nueva regulación europea sí que obliga a llevarla a cabo cuando:
- Se ejerza el uso de tecnologías invasivas.
- Se considere un tratamiento de alto riesgo.
- Se efectúe un tratamiento masivo de datos especialmente protegidos.
- Se realice una evaluación sistemática.
Cabe comentar, asimismo, que el responsable del análisis de riesgo es el responsable del tratamiento, no el Delegado de Protección de Datos (del que ya hablamos en un artículo sobre las tareas del DPO en la empresa y las funciones del DPO). El DPD solo intervendrá como asesor en protección de datos.
Finalidad de la EIPD
El objetivo de este análisis de riesgos es poder asegurar los principios de protección de datos de las personas garantizando sus derechos y libertades, mediante un análisis previo y tomando las acciones preventivas adecuadas de los posibles riesgos asociados a los datos personales.
Cómo debe realizarse una EIPD
Primero se deberá analizar si es necesaria una EIPD. En caso afirmativo, se proseguirá a la evaluación. Se describirá el ciclo de vida de los datos y se llevará a cabo un análisis de la necesidad y proporcionalidad del tratamiento. Se continuará con la identificación, evaluación y el tratamiento de los riesgos. Se completará la evaluación con la descripción del plan de acción y conclusiones. Durante el proceso, se recomienda consultar y pedir asesoramiento al Delegado de Protección de Datos y revisar dicha evaluación ante los cambios que se puedan dar en el tratamiento de datos.
Como hemos visto, la EIPD es una herramienta preventiva primordial a la hora de aplicar y cumplir con el nuevo RGPD. Ahora que ya sabes qué es una EIPD, llevarla a cabo no solo aportará ese valor añadido a tu empresa, sino que, mediante la identificación, evaluación y tratamiento de los posibles riesgos asociados a la protección de datos personales, tu empresa estará mejor preparada ante situaciones concretas de evaluación, teniendo la garantía y confianza de estar operando bajo el amparo de la legalidad.
Si tienes alguna otra duda sobre qué es una EIPD y si tu empresa debe llevarla a cabo, en AKELA estaremos encantados de poder ayudarte con esta o cualquier otra cuestión relacionada con los negocios y el derecho digital. Puedes escribirnos a través de nuestro formulario de contacto. ¡No dudes en ponerte en contacto con nosotros!
*Si quieres estar al corriente de todas las novedades dentro del ámbito del derecho y de los negocios digitales, suscríbete a nuestra newsletter mensual en menos de un minuto haciendo clic a continuación: