Por Vanesa González.
Responsable Departamento de Soporte de Aemol Consulting.
Las Evaluaciones de Impacto sobre Protección de Datos (“EIPD”), las situamos en el ámbito de las medidas o acciones preventivas que todas las empresas deben tener en cuenta antes de inicio del tratamiento de datos personales, siendo obligatorias cuando sea probable que se utilicen nuevas tecnologías por su naturaleza, alcance, contexto o fines y entrañe un riesgo para los derechos y libertadas de las personas físicas.
En este sentido el GT 29 (Grupo de Trabajo del Artículo 29) nos dice que la evaluación de impacto es un proceso orientado a descubrir en detalle las necesidades de tratamiento, evaluación de necesidades y ayuda a gestionar los riesgos y libertades, orientados a asegurar preventivamente el riesgo de dañar o perjudicar a las personas o afectar negativamente sus derechos y libertades impidiendo y limitando su ejercicio o contenido.
Además del carácter preventivo de la evaluación de impacto como indica el GT 29, el WP 248, (Documento publicado por el Grupo de Trabajo del Artículo 29), añade que dicha evaluación tiene que determinar con precisión a quién o quienes corresponden implantar las diferentes medidas resultantes de la misma; mientras que el artículo 35 del Reglamento General de Protección de Datos tipifica de forma particular los casos en que se debe o no se debe llevar a cabo la EIPD, dado que el legislador considera que se pueden dar riesgos elevados en los siguientes casos:
- Tratamientos que impliquen una información sistemática y exhaustiva de aspectos personales con base tecnológica, la elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados.
- Tratamiento a gran escala de datos sensibles que hagan alusión a la raza, ideología, creencias, datos genéticos, salud, vida, orientación sexual…
- La observación sistemática a gran escala de una zona de acceso público.
¿Quién está obligado a realizar una EIPD? El responsable, junto con el delegado de protección de datos y los encargados del tratamiento.
El responsable del tratamiento debe garantizar que la EIPD se lleva a cabo (artículo 35, apartado 2). Cualquier otra persona, de dentro o fuera de la organización, puede llevar a cabo una EIPD, pero el responsable del tratamiento sigue respondiendo en última instancia. El encargado del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado (artículo 35, apartado 2), y dicho asesoramiento, junto con las decisiones adoptadas por el responsable, debe ser documentado en la EIPD. El delegado de protección de datos también debe controlar la realización de la EIPD.
Por tanto y a todos los efectos, la utilidad más grande de los procesos de evaluación se producirá cuando se apliquen en paralelo a la definición de los procesos de tratamiento y antes de su implantación. Su importancia radica en el principio de responsabilidad proactiva puesto que, además de facilitarnos el cumplimento de la norma, nos permite poder demostrarlo.
Por razón de buenas prácticas, una EIPD debe ser continuamente revisada y reevaluada con regularidad. Por tanto, incluso si el 25 de mayo de 2018 no se requiera una EIPD, será necesario, en su momento, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva.