¿Debo realizar una Evaluación de Impacto?

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

A partir de la aplicación del Reglamento General de Protección de Datos el próximo 25 de mayo de 2018, se impondrán varios supuestos de tratamientos de datos en los que el Responsable deberá haber realizado una Evaluación de Impacto.

Pero, ¿Qué es una Evaluación de Impacto?

A modo de resumen, una Evaluación de Impacto podría ser definida como un análisis del impacto del tratamiento que va a realizarse por parte del Responsable en los derechos y libertades de los Interesados.

[Más información sobre qué es  una Evaluación de Impacto en el siguiente  LINK].

El nuevo RGPD, en su artículo 35, dispone ciertos supuestos en los que la realización de dicha Evaluación será obligatoria.

¿En que supuestos debo realizar una Evaluación de Impacto?

Pues bien, el apartado 1 del artículo 35 RGPD dispone que deberá realizarse en aquellos casos en que vaya a llevarse a cabo un tratamiento de datos que, en atención a la naturaleza, alcance, contexto o fines del tratamiento, se cree un alto riesgo en los Derechos y Libertades de los Interesados.

Para aclarar este concepto indeterminado, el considerando 91 del RGPD, viene a indicar que dicha evaluación deberá realizarse en aquellas operaciones de tratamiento a gran escala en las que se traten grandes cantidades de datos personales, que puedan afectar a un gran número de interesados y entrañen un alto riesgo (ya sea porque se utilice una tecnología a gran escala o se realicen operaciones en las que el Interesado tenga dificultades para ejercer sus derechos).

El propio considerando también dispone que no se considerarán como tratamientos a gran escala los tratamientos realizados sobre datos de pacientes o clientes de “un solo médico, otro profesional de la salud o abogado.

En este punto querría realizar una reflexión personal. El considerando 91 hace referencia a los datos “de un solo (médico, otro profesional, abogado)” haciendo una alusión en singular (en la versión inglesa la oración también se realiza en singular “if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer“. Por lo tanto, me surge la duda de si, para el caso que el tratamiento de datos fuera de un despacho de abogados (con varios abogados), ¿entonces sí necesitaría realizar una evaluación de impacto si tuviera muchos clientes? (dado que en función de la tipología de casos que llevara podría tratar datos especialmente sensibles o relativos a condenas o infracciones administrativas). 

Dado que lo anterior es un concepto amplio e inconcreto, el propio artículo, en su apartado 3, procede a concretar 3 supuestos en los que deberá entenderse que un tratamiento cumple dichas características:

  1. Cuando en el tratamiento se realicen evaluaciones sistemáticas y exhaustivas de aspectos personales de los Interesados basados en un tratamiento automatizado de sus datos y, en base a ello, se tomen decisiones que produzcan efectos jurídicos o afecten de forma similar a los Interesados. Este es el caso de las decisiones individuales automatizadas que, a pesar de estar como norma general prohibidas según el artículo 22 RGPD, se permiten en ciertas ocasiones. Un ejemplo de decisión individual automatizada podría ser la solicitud de un crédito online preconcebido que, analizando tus datos bancarios, autorice o deniegue automáticamente el mismo.
  2. Cuando el tratamiento se realice a gran escala sobre datos especialmente protegidos o relativos a condenas o infracciones administrativas.
  3. Cuando en el tratamiento se realice una observación sistemática a gran escala de zonas de acceso público.

Sumado a lo anterior, las Autoridades de Control deberán realizar listas en las que indicarán si determinados tratamientos estarán obligados a realizar estas evaluaciones de impacto. En la actualidad, aún no se encuentra disponible la de la Agencia Española de Protección de Datos.

Es muy importante cumplir con esta obligación, dado que el artículo 83.4.a) RGPD dispone que el incumplimiento de dicha obligación es motivo de infracción administrativa. Teniendo en cuenta el altísimo límite de las sanciones impuestas por el nuevo RGPD, resulta muy importante realizar la misma cuando se está obligado a ello.

evaluación

Comparte el post | Share this post
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *