Las evaluaciones de impacto

Esta nueva obligación llega con el nuevo Reglamento Europeo de protección de datos, y es establecida para los responsables de tratamientos. Consiste en llevar a cabo una “evaluación del impacto” (PIA – Privacy Impact Assessment).

Una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es un ejercicio de análisis de los riesgos que un sistema de información, servicio o producto puede entrañar para el derecho a la protección de datos de los afectados. Tras ese análisis, se afronta la gestión eficaz de los riegos mediante unas determinadas medidas para eliminarlos o mitigarlos.

Cuando un tipo de tratamiento tenga un alto riesgo para los derechos y libertades de las personas físicas, su responsable realizará, antes de dicho tratamiento, una evaluación del impacto. Más concretamente, una evaluación del impacto de las operaciones de tratamiento en lo que a la protección de datos personales se refiere. Se trata de una única evaluación que podrá abordar operaciones de tratamiento similares que tengan altos riesgos.

El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, a que realice la evaluación del impacto en relación a la protección de datos.

La evaluación de impacto relativa a la protección de los datos requiere de:

  1. Evaluación sistemática y exhaustiva de los aspectos personales de personas físicas que se basen en un tratamiento automatizado. Y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten.
  2. Tratamiento a gran escala de las categorías especiales de datos o de los datos personales, que guarden relación con condenas e infracciones penales.
  3. Observación sistemática a gran escala de una zona de acceso público.

La autoridad de control será la encargada de establecer y de publicar una lista de los tipos de operaciones que requieran de una evaluación de impacto relativa a la protección de datos. Una vez estén las listas hechas, serán comunicadas por la autoridad de control al Comité. Así mismo, podrá establecer y publicar la lista de los tipos de tratamiento que no requieran de evaluaciones de impacto que guarden relación con la protección de datos.

Pero antes de adoptar las listas, la autoridad de control aplicará el mecanismo de coherencia del artículo 63. Siempre que las listas tengan actividades de tratamiento relacionadas con la oferta de bienes o servicios a interesados, o bien, con la observación del comportamiento en varios Estados, o actividades que puedan afectar a la libre circulación de datos personales.

¿Qué deberá incluir la evaluación?

Como mínimo lo siguiente:

  1. Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento. Así como el interés legítimo perseguido por el responsable del tratamiento.
  2. Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento respecto a su finalidad.
  3. Evaluación de los riesgos para los derechos y libertades.
  4. Medidas previstas para afrontar los riesgos (garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales). Demostrando la conformidad con el Reglamento y como no, teniendo en cuenta los derechos e intereses legítimos de las personas interesadas y de otras afectadas.