Explicamos en qué consiste una evaluación de impacto relativa a la protección de datos y en qué casos la Agencia Estatal de Protección de Datos (AEPD) aclara que no es necesaria.
- Qué es una EIPD y cómo llevarla a cabo
- ¿Qué tratamientos no necesitan llevar a cabo una EIPD, según la AEPD?
Una de las novedades más notables con la entrada en vigor del RGPD y la LOPDPGDD es el cambio de filosofía en la protección de datos. Es imprescindible proteger los datos desde el diseño, antes incluso de recogerlos, de manera anticipada y preventiva. Por eso se introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD).
La EIPD es imprescindible cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. Se exige de forma obligatoria siempre que se den al menos uno de estos tres casos:
- Evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles.
- El tratamiento a gran escala de datos sensibles.
- La observación sistemática a gran escala de una zona pública.
En todo caso, la Agencia Española de Protección de Datos (AEPD) tiene detallado un listado de tratamientos que implican la obligación de EIPD. Un ejemplo de EIPD obligatoria sería el de una entidad bancaria que analiza a sus clientes utilizando una base de datos de referencia de crédito o un hospital que pone en marcha una nueva base de datos con información sanitaria de sus pacientes. No es obligatoria, sin embargo, para un médico de familia o un dentista que trata datos personales de sus clientes, pero no de forma masiva, sino un número reducido.
¿Qué es una EIPD?
Una evaluación de impacto de protección de datos es un análisis de riesgos previo a la recogida misma de los datos. Es responsabilidad del responsable del tratamiento y debe incluir:
- Una descripción sistemática de las actividades de tratamiento previstas.
- La necesidad de recogida de datos y su tratamiento respecto a la finalidad prevista.
- La evaluación de los riesgos.
- Las medidas de prevención adoptadas, incluidas las garantías, medidas de seguridad o mecanismos que garanticen la protección de los datos personales.
- Un plan de acción y conclusiones para su implantación que deberá estar supervisada, en todo caso, por el responsable del tratamiento de datos.
En caso de que la empresa disponga de un Delegado de Protección de Datos el responsable del tratamiento ha de recabar su asesoramiento al realizar la EIPD y éste ofrecer el asesoramiento que se le solicite y supervisar su aplicación.
Listados de tratamientos en los que no se necesita Evaluación de Impacto
Para ayudar a las empresas más pequeñas y clarificar la necesidad de realizar una Evaluación de Impacto, la AEPD ha sacado un listado de tratamientos en los que no es necesario realizar la EIPD. Esta enumeración es orientativa y está basada en las recomendaciones de la Unión Europea. En todo caso, ello no supone la exención de otras obligaciones que establece el RGPD para el tratamiento de datos personales. La lista incluye:
- Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las autoridades de control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
- Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las autoridades de control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implemente incluyendo las medidas y salvaguardas definidas en la EIPD.
- Tratamientos que sean necesarios para el cumplimiento de una obligación legal, de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD y siempre y cuando ya se haya realizado una EIPD completa.
- Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse la EIPD cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
- Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
- Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
- Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.
De esta forma se limita mucho, sobre todo para el tratamiento de datos que no son críticos y que no se tratan de forma masiva, la necesidad de llevar a cabo una EIPD para una pyme.
En todo caso, siempre es importante ser consciente de los riesgos que tenemos en la empresa, no solo por protección de datos, sino también para la continuidad de nuestro negocio.
