La nueva era digital, así como los avances tecnológicos que ha ido experimentando la sociedad, han propiciado la aparición de nuevos riesgos a la hora de tratar los datos de carácter personal, razón por la cual, las empresas que manejen dichos datos deben adoptar una serie de medidas técnicas y organizativas adecuadas en función de los tratamientos de datos, bajo el principio de proactividad.
Por lo que respecta a esta entrada del blog, que va referida a las evaluaciones de impacto, establece el artículo 35.1 del RGPD que, los Responsables del Tratamiento tienen la obligación de realizar una Evaluación de Impacto (en adelante, EIPD), únicamente cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines del tratamiento, pueda entrañar un alto riesgo para los derechos y libertades de la personas físicas, alto riesgo que según el propio Reglamento, se verá incrementado cuando los tratamientos se realicen utilizando “nuevas tecnologías”. Es decir, con el fin de salvaguardar los derechos y libertades fundamentales de las personas, se ha establecido dicha herramienta preventiva, que permite evaluar e identificar de manera anticipada cuales son los riesgos probables a los que están expuestos los datos personales, y de esta manera, gestionar una respuesta mediante la adopción de las medidas necesarias para reducir tales riesgos.
Con dicha definición no se delimita de manera concreta y precisa qué Responsables del Tratamiento deben adoptar dicha medida de control. No obstante, el RGPD prevé que las autoridades de control elaboren listas de supuestos en los que es obligatorio realizar una EIPD y también listas en las que no es necesario.
Por lo que respecta al listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto, adjuntamos el enlace de la AEPD, donde se recoge y se identifica que tratamientos requieren de una EIPD. https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf
De modo más resumido, podemos concretar que será obligatoria la realización de una EIPD cuya actividad profesional conlleve alguno de los siguientes tratamientos de datos:
- Elaboración de perfiles, para tratamientos que impliquen perfilado o valoración de sujetos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
- Tratamiento de categorías especiales de datos, siendo estos los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física y datos relativos a la comisión o infracciones penales o administrativas.
- Tratamientos de datos a gran escala. Por lo que respecta a este punto, no hay una cifra ni un baremo que nos diga qué es gran escala, pero sí que hay factores que nos ayudan a saberlo:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
- La duración, o permanencia de la actividad de tratamiento de datos;
- El alcance geográfico de la actividad de tratamiento.
- Tratamientos de datos de sujetos vulnerables, así como de los menores de 14 años, mayores con algún grado de discapacidad, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guarda y custodia.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar.
Lista orientativa de tipos de tratamientos que no requieren una Evaluación de impacto
Por otro lado, la AEPD también ha publicado una lista orientativa de tratamientos de datos que NO requiere la realización de una Evaluación de impacto. Estos tratamientos los podemos encontrar en el siguiente enlace https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf y son los siguientes:
- Tratamientos de datos autorizados por las Autoridades de Control, en particular la AEPD, siempre que el tratamiento no se haya modificado desde que fue autorizado.
- Tratamiento que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD.
Por lo que respecta a estos dos puntos, no resultan tratamientos 100% excluidos de dicha obligación, ya que los tratamientos son cambiantes mientras que las circulares de la AEPD son más estáticas. Es decir, si se va a modificar el tratamiento de los datos, por ejemplo, de los clientes o de los empleados, cambiando la manera de llevar el registro de jornada laboral o registro de acceso a las instalaciones, mediante reconocimiento facial o utilización de huella dactilar (sistemas biométricos), se deberá de estudiar si habrá que llevarse a cabo una Evaluación de impacto o no, ya que se trata de un nuevo procedimiento que va a implicar un nuevo tratamiento
- Cuando sean tratamientos necesarios para el cumplimiento de una obligación legal, o en cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
- Tratamientos realizados , en el ejercicio de su labor profesional , por trabajadores autónomosque ejerzan de forma individual, profesionales de la salud, médicos o abogados, siempre que no cumplan con dos o más criterios establecidos, en la lista de tipos de tratamientos de datos, que requieren evaluación de impacto .publicada por la AEPD.
- Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral.
- Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en la Ley de Propiedad Horizontal.
- Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento datos sensibles
El apartado 4 de dicho listado puede suscitar muchas dudas e incluso confusiones, ya que en principio se está excluyendo a dichos profesionales de la obligación de realizar una Evaluación de impacto. Es cierto que la intención es no sobrecargar a las PYMES, así como a los médicos y abogados individuales, con las exigencias legales, no obstante habrá que atender a las especificidades concretas de cada tratamiento y de cada autónomo que ejerce de forma individual, ya que no todos tratan los mismos datos, por lo que el número de afectados y por consiguiente, el riesgo que puede entrañar el tratamiento, puede afectar más o menos a los derechos y libertades fundamentales de los interesados.
Y sin olvidar que, en los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta anteriormente, cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD.
En definitiva, la aplicación del RGPD no debe entenderse como la obligación de realizar una Evaluación de impacto (EIPD) de todos los tratamientos que se realizan, sino que es necesario atender y estudiar cada caso en particular, independientemente de si se trata de una Sociedad Anónima, un autónomo o un profesional liberal independiente, ya que lo fundamental es tener en cuenta los datos de carácter personal que se manejan , teniendo en cuenta siempre la protección de los datos y el principio de proactividad.
