guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Evaluación de Impacto en Protección d...
Ocultar / Mostrar comentarios

Evaluación de Impacto en Protección de Datos

La evaluación de impacto relativa a la protección de datos, también conocida como PIA (Privacy Impact Assement), tiene por objeto evaluar la necesidad y proporcionalidad del tratamiento de los datos personales con la finalidad de poder gestionar los riesgos que entrañe para los derechos y libertades de las personas físicas cuyos datos personales son objeto de tratamiento.

Protección de Datos Personales
Protección de datos
PIA

¿Qué es una evaluación de impacto en protección de datos?

La evaluación de impacto relativa a la protección de datos es un instrumento, como parte de las medidas técnicas y organizativas a aplicar por los responsables del tratamiento, para asegurar que el tratamiento de los datos personales no vulnera el derecho a la protección de datos personales de los interesados.

En concreto, se trata de una obligación prevista para determinados tratamientos de datos personales en el artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

¿Cuándo hay que realizar una evaluación de impacto?

La evaluación de impacto en la protección de datos tiene que hacerse siempre que el tratamiento de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. En este sentido, con carácter general, entre las obligaciones generales del responsable y encargado del tratamiento en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se indica que valorarán si procede la realización de una evaluación de impacto en la protección de datos.

En particular, el responsable del tratamiento, por ser quien está obligado a ello, tiene que considerar su realización cuando utilice nuevas tecnologías para el tratamiento de los datos personales que, atendiendo a su naturaleza, alcance, contexto o fines, entrañe un alto riesgo.

En este sentido, el artículo 35.3 del RGPD indica que la evaluación de impacto se requerirá en particular cuando se dé alguno de los siguientes casos:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • Tratamiento a gran escala de las categorías especiales de datos personales (los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física) o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas, u
  • Observación sistemática a gran escala de una zona de acceso público.
  • Conforme a la disposición adicional decimoséptima de la LOPDGDD, relativa a los tratamientos de datos de salud, cuando se lleve a cabo un tratamiento de datos personales con fines de investigación en salud pública y, en particular, biomédica, entre otras obligaciones, será necesario realizar una evaluación de impacto relativa a la protección de datos, que deberá incluir de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.

    Al respecto, intentando concretar más, el GT29 indicó en sus directrices que hay nueve criterios o indicadores relevantes para determinar si el tratamiento probablemente entraña un alto riesgo y que son los relativos a:

    • 1. Realización de una evaluación o puntuación del interesado, incluida la elaboración de perfiles.
    • 2. Toma de decisiones automatizadas con efecto jurídico o similar para el interesado.
    • 3. Observación sistemática del interesado.
    • 4. Datos sensibles o muy personales, es decir, categorías de datos sensibles en los términos ya indicados.
    • 5. Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el número de interesados, el volumen de los datos o la duración del tratamiento.
    • 6. Asociación o combinación de conjuntos de datos.
    • 7. Datos relativos a interesados vulnerables, tales como niños o empleados.
    • 8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.
    • 9. El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato.

¿Quién es responsable de hacerla y quién tendría que participar?

La evaluación de impacto relativa a la protección de datos personales es una obligación del responsable del tratamiento, lo que significa que es quien tiene que hacerla cuando sea exigible. Al respecto, es necesario tener en consideración que esta evaluación de impacto es una medida técnica y organizativa que sirve para cumplir y demostrar el cumplimiento con el RGPD. Por tanto, es parte también de la responsabilidad proactiva (accountability) del responsable del tratamiento.

Sin perjuicio de que es el responsable quien tiene la obligación de llevar a cabo la evaluación de impacto, hay también otras dos figuras que están o pueden estar involucradas en la misma. Se trata, por una parte, del delegado de protección de datos y, por otra parte, del encargado del tratamiento.

Cuando se vaya a realizar una evaluación de impacto, y si se hubiere designado, el responsable del tratamiento tiene obligación de solicitar el asesoramiento del delegado de protección de datos y, a su vez, este último tiene que ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación (art. 39.1.c del RGPD).

Y en el caso del encargado del tratamiento, conforme al artículo 28.3.f del RGPD, ayudará al responsable del tratamiento a garantizar el cumplimiento de sus obligaciones, entre las que se encuentra, cuando sea exigible, la relativa a la evaluación de impacto relativa a la protección de datos, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado. Es decir, el encargado del tratamiento tiene obligación de ayudar al responsable del tratamiento debiendo tener en cuenta en cada caso el tratamiento de datos personales que se lleve a cabo y la información sobre dicho tratamiento de la que disponga el encargado.

¿Qué contenido mínimo debe tener una evaluación de impacto?

El artículo 35.7 del RGPD indica que la evaluación de impacto debe incluir al menos:

  • a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  • b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  • c) Una evaluación de los riesgos para los derechos y libertades de los interesados cuyos datos personales son tratados, y
  • d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

    En este sentido, en sus directrices, el GT29 indicó que en el proceso iterativo genérico para realizar una evaluación de impacto había que atender a:

    • 1. La descripción del tratamiento previsto;
    • 2. La evaluación de la necesidad y la proporcionalidad;
    • 3. Las medidas previstas para demostrar la conformidad o el cumplimiento;
    • 4. La evaluación de los riesgos para los derechos y libertades de los interesados;
    • 5. Las medidas previstas para afrontar riesgos;
    • 6. Documentación de la evaluación de impacto, y
    • 7. Supervisión y examen.

Al margen de lo anterior, el artículo 35.9 del RGPD indica que cuando proceda, el responsable del tratamiento recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto. Al respecto, el citado artículo indica que lo anterior se entenderá sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento. A pesar de que ni el RGPD ni las directrices del GT29 publicadas aclaran, al menos en la versión de estas últimas de octubre de 2017, este último sí aclaraba que el responsable debe documentar su justificación para no recabar las opiniones de los interesados si decide que esto no resulta adecuado, por ejemplo, si hacerlo pusiera en peligro la confidencialidad de los planes de negocio de las empresas, o si fuera desproporcionado o impracticable.

Por tanto, es el responsable quien tendrá que decidir en cada caso lo que corresponda al respecto, justificando las razones por las que, en su caso, no procede a recabar la opinión de los interesados cuyos datos personales se tratan o, en su caso, a través de sus representantes, ya sean, por ejemplo, consumidores o empleados.

¿Qué directrices y metodologías se deben hacer para realizar evaluación de impacto?

El RGPD deja libertad al responsable del tratamiento para que, según el caso concreto, elija cuál es la metodología que va a utilizar para llevar a cabo la evaluación de impacto relativa a la protección de datos. Es decir, el RGPD fija el contenido mínimo; las obligaciones que, en su caso, tienen, respectivamente, el responsable del tratamiento, el delegado de protección de datos personales y el encargado del tratamiento, así como los factores a tener en consideración y los pasos a seguir a la vista del resultado de dicha evaluación.

Lo fundamental en relación con la evaluación de impacto relativa a la protección de datos, por tanto, es que el responsable del tratamiento identifique cuándo es probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas (artículo 35.1 del RGPD). Y es cuando el tratamiento de los datos personales entraña probablemente un alto riesgo para el interesado cuando hay que hacer la evaluación de impacto.

Con la finalidad de facilitar la realización de evaluaciones de impacto, si bien cada responsable puede utilizar la metodología que estime oportuna, la Agencia Española de Protección de Datos actualizó una guía previa, publicada en 2014, y en 2018 publicó dos guías relevantes en la materia. La primera de ellas es la Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD y la segunda es la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD.

Esta última guía incluye, en particular, un ejemplo de metodología para realización de una evaluación de impacto. Es también importante tener en consideración que la guía, como referencia, menciona varias normas ISO en materia de gestión de riesgo. En concreto, la ISO/IEC 27005:2008 Tecnologías de la Información – Técnicas de Seguridad – Gestión de riesgos de seguridad de la Información; la ISO 31010 de Gestión y Evaluación de Riesgos y la ISO 29134 Tecnologías de la información – Guías para las Evaluaciones de Impacto en la Protección de los Datos.

En las directrices del GT29 ya citadas, a modo de anexo, se incluyen también ejemplos de marcos relativos a evaluaciones de impacto, tanto generales como específicos, refiriéndose estos últimos a la identificación por radiofrecuencia (en inglés Radio Frequency Identification, RFID) o a los contadores inteligentes (en inglés smart meters).

Por último, otras autoridades de protección de datos, como las de Francia y el Reino Unido, fueron de las primeras en publicar guías o directrices con metodologías o ejemplos de metodologías que pueden seguirse para la realización de evaluaciones de impacto.

¿Qué sanciones conlleva el incumplimiento de la evaluación de impacto?

No realizar la evaluación de impacto relativa a la protección de datos cuando sea obligatoria para el responsable del tratamiento en atención a los datos personales tratados o no hacerlo de manera correcta, podría suponer la comisión de una infracción (art. 83.4.a del RGPD) que podría ser sancionada, cuando se trate de empresas, con multa administrativa de diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En el caso de las Administraciones Públicas, en España este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • La PIA tiene por objeto evaluar la necesidad y proporcionalidad del tratamiento de los datos personales con la finalidad de poder gestionar los riesgos que entrañe para los derechos y libertades de las personas físicas.
  • La obligación de realizar una evaluación de impacto corresponde al responsable del tratamiento.
  • El responsable deberá contar con el asesoramiento del DPD, en su caso.
  • El DPD tendrá que colaborar con el responsable del tratamiento facilitándole la información disponible para el cumplimiento de esta obligación.
  • El responsable del tratamiento puede basarse en alguno de los ejemplos de metodologías publicadas por las autoridades de protección de datos o utilizar su propia metodología.
Subir