El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD). Establece en su artículo 35 (por remisión a esta el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales-LOPDGDD-) que “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”. Para posteriormente establecer tres supuestos en los que indefectiblemente debe realizarse.

 

Tres supuestos

a) evaluación sistemática y exhaustiva que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos;

c) observación sistemática a gran escala de una zona de acceso público.

Claro que, siguiendo estos parámetros, a muchos responsables del tratamiento les puede resultar difícil saber si deben o no realizar una Evaluación de Impacto relativa a la protección de datos (EIPD). Para ello, el RGPD da potestad a cada autoridad de control (en España la Agencia Española de Protección de Datos o AEPD) para que publique una lista de tipos de operaciones de tratamiento que necesiten una EIPD. Y así lo hizo la AEPD.

Pero como no quedaba aun lo suficientemente claro los tratamientos obligados a realizar la EIPD, y como el propio RGPD también daba la potestad a la AEPD para realizar una lista en sentido contrario, es decir, qué tratamientos no requieren una EIPD, pues ni corta ni perezosa la AEPD nos ha deleitado con dicha lista excluyente.

Así, los supuestos más frecuentes con los que nos encontramos, que con la anterior lista podía parecer que necesitaban una EIPD (tratamientos que impliquen el uso de categorías especiales de datos, como los datos de salud), la nueva lista de NO EIPD establece una excepción a la regla, estableciendo que no es necesario para aquellos tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que sí requieren una EIPD.

También quedan excluidos los tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos de sus asociados y donantes.

Igualmente, los tratamientos realizados por las pequeñas y medianas empresas para la gestión interna del personal de la misma.

Y también se libran las comunidades de propietarios.

Hay otros supuestos excluidos, pero estos son los más interesantes, por su mayor probabilidad de producirse.

Aun así, no quedan delimitados muchos supuestos, por lo que, ante la duda, mejor realizar la EIPD que, a la postre, nos dará una visión más amplia de los posibles riesgos que tenemos en nuestro día a día. Además, evitaremos posibles sanciones. Por ejemplo, ¿estaría exenta una PYME que usa la huella dactilar para el control horario? ¿Entraría dentro del concepto de tratamiento realizado para la gestión del personal? Desde nuestro punto de vista, excede y, por tanto, es necesario hacer una EIPD.

¿Quién debe realizar la EIPD?

El Responsable del Tratamiento. En el caso que tenga designado un Delegado de Protección de Datos (DPD), contará con el apoyo de éste, siempre como asesor, ya que la EIPD debe ejecutarse bien por personal interno del Responsable del Tratamiento, bien por personal externo a la organización.

 

Artículo que también te pueden interesar ⤵️