La obligación de realizar evaluaciones de impacto conforme al RGPD

Dedicamos el post de hoy al ejercicio de las evaluaciones de impacto en protección de datos (conocidas como PIAS por sus siglas en inglés) y las preguntas más frecuentes que surgen en relación a su obligatoriedad y características.

 

1. ¿Qué son las evaluaciones de impacto en protección de datos?

 

La evolución de las tecnologías existentes (dispositivos conectados, drones, vigilancia electrónica, etc) y el tratamiento masivo de ciertas categorías de datos (datos que permiten inferir determinados aspectos, comportamientos o aptitudes de las personas; datos de menores, datos de salud, etc.) propician continuamente la aparición de nuevos riesgos que deben ser gestionados.

Siendo consciente de ello, el RGPD exige a las empresas la adopción de medidas de control, como la realización de evaluaciones de impacto, que permitan acreditar y garantizar que el tratamiento que efectúan no vulnera los derechos y libertades de las personas y que se han adoptado las medidas de seguridad necesarias para la protección de sus datos.

Las evaluaciones de impacto (EIPD), conocidas como PIAS por sus siglas en inglés (Privacy Impact Assesment), conforman un proceso diseñado para analizar y conocer en detalle  un tratamiento desde el inicio o la fase de su diseño.

En la práctica, las evaluaciones de impacto son herramientas que permiten gestionar los riesgos del tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducirlo hasta un nivel considerado aceptable antes de ponerlo en marcha.

 

2. ¿Está mi empresa obligada a realizar evaluaciones de impacto?

 

Conforme al artículo 35.1ª RGPD, esta obligación recae en los Responsables de Tratamiento únicamente cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines del tratamiento, puede entrañar un alto riesgo para los derechos y libertades de la personas físicas.

Para ayudar a esclarecer cuándo un tratamiento puede suponer un alto riesgo, el artículo 35.3º RGPD establece una lista no exhaustiva de supuestos:

 

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones.
  • Observación sistemática a gran escala de una zona de acceso público.

 

Adicionalmente, el RGPD en el art. 35.4º y 5º, prevé que las autoridades de control elaboren listas de supuestos en los que es obligatorio realizar una EIPD y también listas en las que no es necesario.

Lo anterior supone que no todas las empresas están obligadas a realizar evaluaciones de impacto, aunque ello no impediría que puedan ser realizadas de forma voluntaria. En tal caso, permitiría a la entidad acreditar a mayores el cumplimiento del RGPD, sirviendo de este modo al principio de responsabilidad proactiva o “principio de responsabilidad demostrable”.

A continuación, damos respuestas a ciertas preguntas que pueden surgirnos en la práctica.

 

3. ¿Debe realizarse una evaluación de impacto si el tratamiento que puede entrañar un “alto riesgo” se ha iniciado antes del 25 de mayo de 2018 (fecha de obligatoria aplicación del RGPD)?

 

Depende, debe analizarse el supuesto en cada caso.

Al respecto, la Agencia Española de Protección de Datos en la Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD establece la regla de no extender esta obligación a las operaciones de tratamiento que ya estén en curso el 25 de mayo de 2018, salvo cuando con posterioridad a esta fecha se hayan producido cambios en los riesgos del tratamiento.

Es decir, que se hayan empezado a aplicar nuevas tecnologías al tratamiento, que los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, etc.

Nuestro consejo desde Grupo Adaptalia es que se realice una EIPD con independencia que el tratamiento se haya iniciado con anterioridad al 25 de mayo de 2018.

Muchas veces no es posible determinar cuándo se han producido los cambios en los riesgos y, además, el Grupo de Trabajo del artículo 29 dispone que estos cambios en los riesgos deben producirse en relación a la última comprobación de la autoridad de control o el delegado de protección de datos.

En el caso español, estas comprobaciones no han tenido especial transcendencia y, por tanto, muchos de los tratamientos que pueden ocasionar un alto riesgo no han podido ser verificados por la Agencia Española de Protección de Datos ni por un delegado de protección de datos. Lo cierto es que el delegado de protección de datos es una figura que no ha tenido repercusión en España hasta el RGPD.

evaluaciones de impacto

Las evaluaciones de impacto son obligatorias, entre otros, en casos de observación sistemática a gran escala de una zona de acceso público.

 

4. ¿El Encargado de Tratamiento está obligado a realizar Evaluaciones de Impacto?

 

El artículo 35.1º RGPD dispone claramente que esta obligación sólo existe para los Responsables del Tratamiento, lo que supone que los Encargados de Tratamiento no están obligados a realizar evaluaciones de impacto.

Es decir, si se trata de un hospital que para el tratamiento de sus pacientes utiliza un programa informático que permite el almacenamiento y tratamiento masivo de datos de salud, la obligación de realizar la evaluación de impacto recaería en el hospital.

Ello con independencia que el programa o aplicación sea el instrumento esencial para el tratamiento y que pueda licenciarse no sólo a ese hospital sino a otros centros sanitarios.

Ahora bien, ello no obsta a que el Encargado de Tratamiento deba realizar un análisis de riesgo sobre el servicio prestado y ser capaz de aportar garantías suficientes.

Tomando el ejemplo anterior, esto se traduce a que el proveedor del programa deberá garantizar y ser capaz de demostrar que su aplicación cuenta con las medidas de seguridad necesarias para reducir el nivel de riesgo al que se ve expuesto el tratamiento  (medidas para evitar pérdida de los datos tratados en el programa, habilitación de mecanismos por defecto que impidan accesos no autorizados, copias de seguridad, etc).

Sin duda, será necesario el apoyo del encargado de tratamiento al responsable para la elaboración de la EIPD.

 

5. Los supuestos de obligatoria realización de EIPD previstos en el RGPD  son  ciertamente interpretables ¿qué herramientas pueden ayudarme para llegar a una conclusión?¿La Agencia Española de Protección de Datos ya ha elaborado listas de supuestos de obligatoria realización y exclusión de EIPD?

 

No, la AEPD aún no ha elaborado estas listas.

No obstante, pueden utilizarse los criterios seguidos por el Grupo de Trabajo del artículo 29  en el documento “WP248 Directrices sobre las Evaluaciones de Impacto en la Protección de Datos”, así como los empleados por la Agencia Española de Protección de Datos en la “Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD”.

 

Cuente con Grupo Adaptalia para el mejor asesoramiento profesional en Consultoría en Protección de Datos. Analizaremos su caso caso particular y realizaremos el ejercicio de análisis exhaustivo de las evaluaciones de impacto tanto en aquellos casos de obligado cumplimiento, como en los que sea considerado un activo para su empresa. Algo que recomendamos encarecidamente por las numerosas ventajas que supone para su organización mitigando riesgos y evitando costes reputacionales y económicos antes de que el sistema se desarrolle. Contacte ahora y cuéntenos su caso.

 

Inés Bermejo Bartolomé

Departamento Legal