Desde la aplicación obligatoria del Reglamento General de Protección de Datos (RGPD) hace casi ya cuatro años, las Evaluaciones de Impacto han supuesto un auténtico quebradero de cabeza para las empresas porque la normativa no deja muy claro cómo deben documentarse. Es por ello que, la Agencia Española de Protección de Datos (AEPD), a través de una lista de comprobación rápida, ha dado “pistas” hace unas semanas sobre cuáles son los aspectos necesarios que debe contener el informe de la Evaluación de Impacto.
¿Qué es una Evaluación de Impacto?
Una Evaluación de Impacto (EIPD) es un análisis exhaustivo de un determinado tratamiento o tratamientos similares con la finalidad de identificar, evaluar y tratar sus riesgos. Su objetivo final es determinar el nivel de riesgo para aplicar las medidas de control más adecuadas y reducir el mismo hasta un nivel considerado aceptable.
Por ejemplo, en el caso de un hospital, si realizamos una Evaluación de Impacto sobre los datos de salud de los pacientes, deberemos analizar a qué amenazas está expuesto ese tratamiento (por ejemplo, acceso al historial clínico de personas no autorizadas) para calcular cuál es su riesgo y ver, en función de ese riesgo, qué medidas de seguridad técnicas y organizativas se pueden adoptar para minimizarlo (por ejemplo, política de contraseñas y restricción de acceso físico).
¿En qué supuestos es obligatorio realizarla?
Conforme al RGPD, las empresas cuando actúan en calidad de responsables de tratamiento están obligados a realizar una EIPD cuando “sea probable que un tipo de tratamiento o varios tratamientos similares, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. El RGPD prevé a título enunciativo de forma muy técnica tres supuestos en los que deben realizarse EIPD al considerarlos que suponen un “alto riesgo”:
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar. Ejemplo: Tratamiento de los datos de los usuarios que reflejan sus gustos o preferencias al visitar una página web.
- Tratamientos a gran escala de categorías especiales de datos o datos relativos a condenas o infracciones penales. Ejemplo: Tratamiento de datos de salud de pacientes.
- Observación sistemática a gran escala de una zona de acceso público. Ejemplo: Podrían entrar dentro de este supuesto nuevas tecnologías como los contadores que utilizan las inmobiliarias para conocer cuánta gente se para a mirar sus escaparates.
De la misma forma, la AEPD ha elaborado dos listados no exhaustivos de supuestos que requieren EIPD (https://www.aepd.es/es/documento/listas-dpia-es-35-4.pdf) y que NO requieren EIPD (https://www.aepd.es/sites/default/files/2019-12/ListasDPIA-35.5l.pdf ):
- Respecto a la lista de tipos de tratamiento que requieren EIPD, la AEPD dispone que será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con “dos o más criterios de la lista”.
- Respecto a la lista de tipos de tratamiento que NO requieren EIPD, la AEPD dispone a título orientativo qué tipos de tratamiento “están exentos de realizar EIPD”.
¿Qué dice la normativa sobre el contenido del informe de la Evaluación de Impacto?
El RGPD tan sólo dispone de forma muy técnica, amplia y sin concretar demasiado, cuál es el contenido mínimo de una Evaluación de Impacto y, por tanto, del informe que la recoja:
- Una descripción sistemática de las operaciones de tratamiento previstas y de los fines de tratamiento y, además y cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y demostrar la conformidad con el Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Debido al tecnicismo utilizado, la AEPD publicó una Guía https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf) para que las empresas conocieran más acerca de su metodología y fases de desarrollo, y puso a disposición del público la herramienta “Gestiona”(https://gestiona.aepd.es/) para que las pymes pudieran realizarla a través de la misma.
¿En qué ayuda la lista de verificación publicada por la AEPD para la redacción del informe de la Evaluación de Impacto?
La AEPD, se ha percatado de que las empresas continúan con muchas dificultades para poder realizar una Evaluación de Impacto por la complejidad y tecnicismo de la normativa y materiales publicados hasta entonces.
Es por ello, que ha publicado recientemente una lista de comprobación rápida con la finalidad de que las empresas (o los consultores asignados), a la hora de redactar el informe de la Evaluación de Impacto, traten todos los aspectos formales y de contenido que la AEPD entiende como esenciales.
Ejemplos de esta lista son: número de versión del informe; fecha y la firma del responsable del tratamiento, sus datos de contacto, y en su caso, los datos de contacto fecha y firma del Delegado de Protección de Datos; identificación del responsable y de los corresponsables, encargados y cualquier otro intervinientes.
La lista completa puede consultarse en el siguiente link: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-lista-verificacion-para-ayudar-responsables-evaluaciones .
