La pregunta que debe hacerse un Responsable del tratamiento en el momento justo antes del propio tratamiento ¿Cuándo realizar una evaluación de impacto relativa a la protección de datos? sobre las operaciones de tratamiento.
El momento será cuando sea probable que un tipo de tratamiento, en particular si este utiliza nuevas tecnología, por su naturaleza , alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
El Responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
Pero en que casos realizar una evaluación de impacto relativa a la protección de datos. La evaluación de impacto relativa a la protección de los datos a la que nos estamos refiriendo se requerirá en particular en caso de:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
- Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
- Observación sistemática a gran escala de una zona de acceso público.
Así reza el comienzo del art. 35 del RGPD.
Además, la autoridad de control tendrá la potestad de fijar cuales son los tipos de tratamiento que requieren la evaluación de impacto. Este punto lo trataremos en otro momento.
Ahora además de conocer cuándo realizar una evaluación de impacto relativa a la protección de datos nos importa conocer qué debe incluir como mínimo la evaluación de impacto. Estos 4 puntos siguientes son los más necesarios para ello:
- Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
- Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Para ofrecer más garantías a la posible evaluación de impacto relativa a la protección de datos será procedente algo más. Aquí lo apuntamos.
- El cumplimiento de códigos de conducta tanto para los responsables como para los encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
- Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
- Cuando el tratamiento tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado que se aplique al responsable del tratamiento, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general además de que el tratamiento ya esté regulado por tal Derecho.
- En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
En nuestra LOPD y GDD recientemente promulgada se enfatiza en su art. 28 las obligaciones generales del responsable y encargado del tratamiento.
-
Estos, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.
En particular valorarán si procede
- La realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.
- Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
- Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
- Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
- Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos
- Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
- Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, menores de edad y personas con discapacidad.
- Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
- Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
- Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia
Cómo se puede observar, la evaluación de impacto es un área de gran sensibilidad y de necesaria adaptación.
Nosotros lo sabemos, ¿Y usted?