Blog

Las Evaluaciones de impacto (EIPD), están orientadas a asegurar, de forma preventiva, respecto a las operaciones de tratamiento que puedan comportar riesgos especialmente relevantes (alto riesgo), que se tomen medidas para reducir, en la medida de lo posible, el riesgo a dañar o perjudicar a las personas, o afectar negativamente a sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

A los efectos, el responsable del tratamiento tiene la obligación de considerar, desde el inicio, en la fase de diseño, todas las acciones preventivas suficientes para poder identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales y poder asegurar los principios de protección de los datos todo, garantizando los derechos y libertades de los interesados.

Para determinar la necesidad de hacer una EIPD, el Responsable del tratamiento debe hacer un primer análisis:

• ¿Qué datos trataré y de quién? Debe elaborar una lista exhaustiva de todos los datos que puedan ser objeto de las diferentes operaciones de tratamiento, por ejemplo: nombre, apellidos, fecha de nacimiento, teléfono de contacto, dirección correo electrónico, imagen, datos biométricos, datos de salud, etc.
• Debe saber si se prevé tratar datos de menores, personas en situación vulnerable u otras circunstancias especiales.
• ¿Qué finalidad tienen estos datos?, es decir, debe identificar qué operaciones de tratamiento se realizarán con los datos recogidos: recogida, almacenado, anonimización, consulta, modificación, supresión
• Y, qué tecnologías o medios, utilizará para tratarlas. Hay que tener especial atención al uso de tecnologías consideradas invasivas, por ejemplo:
  • Videovigilancia a gran escala
  • Aeronaves no tripuladas (drones)
  • Vigilancia electrónica (micrófonos ocultos, cámaras, dispositivos de localización GPS)
  • Minería de datos que provienen de la inteligencia artificial y la estadística, BIG DATA.
  • Biometría: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permiten o confirmen la identificación única de una persona, por ejemplo: huella dactilar, reconocimiento de del iris, de la geometría de la mano, de retina, reconocimiento de la firma, de la escritura por medio de un software determinado, reconocimiento de voz, etc.
  • Técnicas genéticas, que permiten recoger datos personales relativos a las características genéticas o adquiridas de una persona física, proporcionando una información única sobre la fisiología o la salud de esta persona, obtenidas del análisis de una muestra biológica (ejemplo, análisis de ADN).
  • Geolocalización

Con carácter general, se debe ejecutar EIPD cuando un tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas y si se utilizan nuevas tecnologías. Por derechos y libertades, nos referimos a todos los reconocidos como fundamentales para nuestro ordenamiento jurídico. Se puede producir una vulneración grave a los derechos y libertades fundamentales, por ejemplo:

• La puntuación de personas, elaboración de perfiles y la predicción de conductas o comportamientos: se considera que se elaboran perfiles cuando los aspectos personales de la persona son evaluados para hacer predicciones sobre la persona. Por ejemplo, si una empresa u organización evalúa las características de una persona (edad, sexo, altura) o la incluye en una categoría.
• Toma automatizada de decisiones, es decir, se toman decisiones sobre la persona por medios tecnológicos sin la intervención humana. Las personas físicas tienen derecho a no ser objeto de una decisión basada sólo en medios automatizados, si la decisión en cuestión produce efectos jurídicos (por ejemplo, el derecho de voto). En estos casos, se debe facilitar a la persona el ejercicio de su derecho a obtener intervención humana y la posibilidad de impugnar la decisión.
• Cuando se revelan categorías especiales de datos personales o relativas a condenas e infracciones penales, durante el tratamiento.
• Tratamiento de datos a gran escala (se persigue tratar una cantidad considerable de datos personales en el ámbito regional, nacional o supranacional y que pueden afectar a un gran número de interesados
• Cuando se tratan los datos personales de colectivos especialmente vulnerables, incluidos los menores.

Ejemplos de entidades obligadas a hacer una EIPD:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Empresas de biotecnología que ofrezcan pruebas genéticas directamente a los consumidores para evaluar y predecir los riesgos de enfermedad / salud, mejora de rendimiento deportivo, etc.
• Empresas que realicen perfiles de comportamiento o de publicidad basados ​​en preferencias o intereses derivados de la navegación por Internet
• Empresa que mediante software evalúa conductas o comportamientos de rendimiento en el trabajo (absentismo, productividad, eficiencia, formación) y tome decisiones que afecten significativamente al trabajador (despidos, cambios de puestos de trabajo)
• Entidades bancarias que, para conseguir crédito, investigan a sus clientes

¿Cuál es el contenido mínimo de una Evaluación de Impacto?

Para realizar una Evaluación de Impacto, se debe disponer de una metodología que tenga en cuenta los requisitos exigidos por la ley, en concreto el artículo 35.7 del RGPD que dice que incluirá como mínimo:

• Una descripción sistemática de la actividad de tratamiento previstas
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
• Una evaluación de los riesgos (identificación, análisis y valoración de los riesgos)
• Las medidas previstas para afrontar los riesgos, incluidas las garantías, las medidas de seguridad y todos los mecanismos que garanticen la protección de los datos personales.

¿Quién es el obligado a realizar la EIPD? El Responsable del tratamiento.

Existen tratamientos exentos a la Evaluación de Impacto, ¿cuáles son?

• Los tratamientos realizados bajo las directrices de códigos de conducta
• Cuando los tratamientos sean necesarios para el desempeño de una obligación legal
• Cuando los tratamientos son realizados por profesionales autónomos y ejercen de forma individual (por ejemplo, médicos, profesionales de la salud o abogados)
• Todos aquellos tratamientos obligatorios con relación a la gestión interna de personal de las PYMES (contabilidad, gestión de RRHH y nóminas, seguridad social y salud laboral) no siendo exentas las relativas a los datos de los clientes.
• Los tratamientos realizados por las comunidades de propietarios
• Los tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes

Por ejemplo, un médico de familia que trata datos personales de sus pacientes no necesitaría realizar una Evaluación de impacto porque el tratamiento por parte de los médicos de familia no se lleva a cabo a gran escala, pues el número de pacientes es limitado.

¿Hay sanción por incumplimiento de esta obligación?

 No hacer la EIPD cuando sea obligatoria por el Responsable del tratamiento en atención a los datos personales tratados o no hacerlo de manera correcta, podría suponer la comisión de una infracción con una posible sanción, en el caso de empresas, de multa administrativa de 10.000.000 € o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tomando el de mayor cuantía.

Como siempre, para cualquier duda o más información sobre este post, así como si está interesado/a en conocer mejor nuestra organización y nuestros servicios, puede solicitar cita previa, teléfono 934674467 en horario de 8:00 a 17:00 horas de lunes a jueves y el viernes de 8 a 14:00 horas.

Si quiere recibir nuestras novedades, suscríbase a nuestra newsletter.