✔ La evaluación de impacto en el RGPD (Reglamento General de Protección de Datos) es una obligación que deben cumplir los «responsables del tratamiento». En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativo a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. La «evaluación de impacto en el RGPD» se encuentra regulada en su artículo 35 y 36.
Evaluación de la necesidad
Son múltiples los supuestos en que podría ser necesario realizar una evaluación de impacto. En el RGPD se regulan tres supuestos, no exhaustivos, donde será necesaria:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales,
- Observación sistemática a gran escala de una zona de acceso público.
No obstante, existen más supuestos, debido a que la normativa señala que las «autoridades de control» deberán publicar una lista de tratamientos que requerirán este tipo de análisis, y no requerirán, una evaluación de impacto. De igual modo, será el «responsable» el que, finalmente, deberá decidir si el tratamiento será merecedor de ser objeto de una evaluación de impacto.
✔️ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.
Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.
Contenido de la Evaluación de impacto en el RGPD
La «Evaluación de impacto en el RGPD» deberá contener, como mínimo, lo siguiente:
- Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Todo el proceso de «Evaluación de impacto en el RGPD» deberá documentarse meticulosamente – incluso el análisis previo, para demostrar que no es necesario la realización de una evaluación de impacto – y, si fuese necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativo a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Consulta previa y opinión de los interesados
La normativa señala que el responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativo a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. Para ello, deberá facilitarle la siente información:
- En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
- Los fines y medios del tratamiento previsto.
- Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el RGPD.
- En su caso, los datos de contacto del delegado de protección de datos; la evaluación de impacto relativo a la protección de datos.
- Cualquier otra información que solicite la autoridad de control.
Asimismo, y cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
Conclusiones
En cumplimiento del principio de responsabilidad proactiva, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá realizar, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Desde «Grupo Adaptalia» somos conscientes de la importancia de los Derechos y libertades de los interesados. Por ello nos ponemos a su disposición en caso de que un tratamiento pudiera tener incidencia en estos.
▸Estimado lector, ¡¡gracias por su tiempo!!