Evaluación de impacto de protección de datos en el RGPD

Evaluación de impacto de protección de datos en el RGPD2019-08-18T11:01:47+00:00

¿Debes realizar una evaluación de impacto de protección de datos y no sabes cómo hacerla? Infórmate en esta guía y descárgate los modelos de los organismos oficiales.

Artículos relacionados…

Qué es una evaluación de impacto relativa a la protección de datos

En palabras del Grupo de Trabajo del Artículo 29 (GT29), una evaluación de impacto relativa a la protección de datos es “un proceso concebido para describir el tratamiento y evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos.” (Directrices sobre la evaluación de impacto relativa a la protección de datos (wp248rev01).

También conocida como EIPD, PIA o DPIA (del inglés, privacy impact assessment y data protection impact assessment, respectivamente), una evaluación de impacto es un instrumento que te permitirá dejar constancia del estudio de cómo el tratamiento puede afectar a los interesados y que, teniendo en cuenta los resultados, has emprendido las medidas adecuadas para tratar los riesgos y hacer que el tratamiento se ajuste a la ley.

Es, en definitiva, un proceso para ayudarte a cumplir y demostrar el cumplimiento.

Cuándo es obligatoria la evaluación de impacto de protección de datos

Deberás realizar una evaluación de impacto de protección de datos si tu tratamiento encaja en cualquiera de las siguientes situaciones:

Es uno de los tratamientos del artículo 35.3 del RGPD

El artículo 35.3 establece que se requerirá una evaluación de impacto relativa a la protección de datos en caso de:

  1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. tratamiento a gran escala de las categorías especiales de datos (datos sensibles) o de los datos personales relativos a condenas e infracciones penales, o
  3. observación sistemática a gran escala de una zona de acceso público.

Es un tratamiento incluido en la lista de tu autoridad de protección de datos

El artículo 35.4 indica que las autoridades de protección de datos de los Estados Miembros establecerán y publicarán unas listas recogiendo los tratamientos que requieran una evaluación de impacto de protección de datos y las comunicarán al CEPD.

Si las operaciones de tratamiento que proyectas realizar se encuentran en la lista de la autoridad de protección de datos que supervisa tus actividades, también estarás obligado a hacer una evaluación de impacto.

Puedes consultar todas las listas remitidas por las autoridades de protección de datos de los Estados Miembros al CEPD aquí.

El tratamiento entraña un alto riesgo para los derechos y libertades

El artículo 35.1 establece que se requerirá la realización de una evaluación de impacto de protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Para saber si un tratamiento “probablemente entraña un alto riesgo”, el GT29 estableció que deben considerarse los siguientes 9 criterios:

CriterioDescripción
Evaluación o puntuaciónElaboración de perfiles y predicción, especialmente lo relacionado con el rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos.
Decisiones automatizadas con efectos jurídicosTratamientos destinados a tomar decisiones sobre los interesados que produzcan efectos jurídicos o les afecten significativamente de modo similar.
Observación sistemáticaTratamientos usados para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u “observación sistemática de una zona de acceso público”.
Datos sensibles o datos muy personalesTratamientos con categorías especiales de datos, datos personales relativos a condenas e infracciones penales u otros datos que se puedan considerar sensibles por estar vinculados a hogares y actividad privada, por afectar el ejercicio de un derecho fundamental o porque su violación pueda implicar graves repercusiones.
Tratamientos a gran escalaPara determinar si el tratamiento es a gran escala, el GT29 recomendó tener en cuenta: (i) el número de afectados; (ii) el volumen o variedad de datos; (iii) la duración del tratamiento, y (iv) el alcance geográfico.
Asociación o combinación de conjuntos de datosCombinación de datos que procedan de tratamientos con fines distintos o de diferentes responsables, excediendo las expectativas razonables del interesado
Datos de interesados vulnerablesSon colectivos donde existe un desequilibrio de poder entre los interesados y el responsable. Se incluyen, entre otros, a empleados, niños, personas mayores, pacientes, personas con enfermedades mentales, o a solicitantes de asilo.
Uso innovador o nuevas soluciones tecnológicas u organizativasEl RGPD estipula que el uso de una nueva tecnología, definida “en función del nivel de conocimientos técnicos alcanzado”, puede hacer necesario realizar una EIPD.
Se impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contratoIncluye operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o a un contrato.
  1. Evaluación o puntuación. Elaboración de perfiles y predicción, especialmente lo relacionado con el rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos.
  2. Decisiones automatizadas con efectos jurídicos. Tratamientos destinados a tomar decisiones sobre los interesados que produzcan efectos jurídicos o les afecten significativamente de modo similar.
  3. Observación sistemática. Tratamientos usados para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u “observación sistemática de una zona de acceso público”.
  4. Datos sensibles o datos muy personales. Tratamientos con categorías especiales de datos, datos personales relativos a condenas e infracciones penales u otros datos que se puedan considerar sensibles por estar vinculados a hogares y actividad privada, por afectar el ejercicio de un derecho fundamental o porque su violación pueda implicar graves repercusiones.
  5. Tratamientos a gran escala. Para determinar si el tratamiento es a gran escala, el GT29 recomienda tener en cuenta: (i) el número de afectados; (ii) el volumen o variedad de datos; (iii) la duración del tratamiento, y (iv) el alcance geográfico.
  6. Asociación o combinación de conjuntos de datos. Combinación de datos que procedan de tratamientos con fines distintos o de diferentes responsables, excediendo las expectativas razonables del interesado
  7. Datos de interesados vulnerables. Son colectivos donde existe un desequilibrio de poder entre los interesados y el responsable. Se incluyen, entre otros, a empleados, niños, personas mayores, pacientes, personas con enfermedades mentales, o a solicitantes de asilo.
  8. Uso innovador o nuevas soluciones tecnológicas u organizativas. El RGPD estipula que el uso de una nueva tecnología, definida “en función del nivel de conocimientos técnicos alcanzado”, puede hacer necesario realizar una EIPD.
  9. Se impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contrato. Incluye operaciones de tratamiento destinadas a permitir, modificar o denegar el acceso de los interesados a un servicio o a un contrato.

Cuantos más criterios reúna el tratamiento, más probable será que entrañe un alto riesgo y debas realizar una EIPD y que, en la mayoría de los casos, si un tratamiento cumple con dos criterios ya deberás realizar una EIPD.

No obstante, esa no es una regla absoluta y debe ser evaluada caso por caso. Existirán situaciones en que un tratamiento reúna dos criterios y el responsable pueda justificar que no se requiere realizar una EIPD y a la inversa, situaciones en que un tratamiento únicamente reúna solamente un criterio y ya requiera una EIPD.

El GT29 consideró que cuantos más criterios reúna el tratamiento, más probable será que entrañe un alto riesgo y debas realizar una EIPD y, en la mayoría de los casos, si un tratamiento cumple con dos criterios ya deberás realizar una EIPD.

No obstante, esa no es una regla absoluta y debe ser evaluada caso por caso. Existirán situaciones en que un tratamiento reúna dos criterios y el responsable pueda justificar que no se requiere realizar una EIPD y a la inversa, situaciones en que un tratamiento únicamente reúna solamente un criterio y ya requiera una EIPD.

Cuándo no debe realizarse una evaluación de impacto sobre protección de datos personales

El GT29 considera que no se requiere realizar una EIPD en los siguientes casos:

  • cuando no sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas;
  • cuando exista una EIPD para un tratamiento muy similar, teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento;
  • cuando las operaciones de tratamiento hayan sido comprobadas por la autoridad de control antes de mayo de 2018 en condiciones específicas que no hayan cambiado;
  • cuando una operación de tratamiento sea necesaria para cumplir una obligación legal o una misión realizada en interés público o en el ejercicio de poderes públicos que te hayan sido conferidos, siempre que:
    • el tratamiento tenga una base jurídica en el Derecho de la Unión o en el Derecho del Estado Miembro y este Derecho regule la operación específica de tratamiento;
    • ya se haya realizado una evaluación de impacto de protección de datos en el contexto de la adopción de dicha base jurídica.
    • no exista una excepción del Estado Miembro que obligue a realizar una EIPD;
  • cuando el tratamiento se incluya en la lista opcional de la autoridad de protección de datos de operaciones de tratamiento que no requieren una EIPD.

Además, según establece el considerando 91 del RGPD, el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.

Cómo hacer una evaluación de impacto de protección de datos

Una EIPD puede abordar una única operación, una serie de operaciones de tratamiento similares que entrañen altos riesgos similares o un producto tecnológico. La debes realizar antes del tratamiento y, según indica el Artículo 35.7, debe incluir los siguientes procesos:

  1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  3. una evaluación de los riesgos para los derechos y libertades de los interesados que probablemente entrañan un alto riesgo; y
  4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Se trata de un proceso iterativo que el GT29 ilustra con este diagrama:

Diagrama de la evaluación de impacto de protección de datos del RGPD. EIPD o PIA

Por “derechos y libertades”, el GT29 indica que “atañe principalmente a los derechos de protección de datos e intimidad, pero también puede implicar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, la libertad de circulación, la prohibición de discriminación, el derecho a la libertad y la libertad de conciencia y de religión.

Además de lo anterior, el RGPD te exige que, al evaluar el impacto de las operaciones de tratamiento en los derechos y libertades de las personas físicas, tengas también en cuenta el cumplimiento de códigos de conducta.

Por lo que se refiere a la metodología, si bien el RGPD no te obliga a seguir ninguna en concreto, para la parte de gestión de riesgos es recomendable seguir la metodología ISO 31000 o alguna de las guías de las autoridades de control para planificar y organizar tu evaluación de impacto de protección de datos y evaluar la necesidad y proporcionalidad y los riesgos para los derechos y libertades.

El método depende completamente de ti y ello te permite escalar la EIPD según las necesidades y tamaño de tu organización. No obstante, para que una evaluación de impacto de protección de datos esté bien hecha y cumpla la legalidad y los estándares europeos, el GT29 indica que la metodología deberá incluir necesariamente los siguientes criterios:

CriterioDescripción
Descripción del tratamientoSe ofrece una descripción sistemática de:

  • la naturaleza, ámbito, contexto y fines del tratamiento;
  • datos personales registrados, destinatarios y período de conservación;
  • las operaciones de tratamiento
  • los medios de los que dependen los datos (hardware, software, redes …)
  • teniendo en cuenta el cumplimiento de códigos de conducta
Necesidad y proporcionalidadSe describen las medidas que contribuyen a cumplir con:

Gestión de riesgosSe identifica, analiza, estima y evalúa, desde la perspectiva del interesado, el riesgo para la confidencialidad, integridad y disponibilidad:

  • teniendo en cuenta el origen del riesgo;
  • identificando efectos posibles sobre los derechos y libertades en caso que se materialicen accesos ilegítimos, modificaciones no deseadas o desapariciones de datos;
  • identificando las amenazas para la confidencialidad, integridad y disponibilidad de los datos, y
  • estimando la probabilidad y gravedad

Se determinan las medidas para tratar los riesgos.

Participan las partes interesadas
  • Se recaba el asesoramiento del delegado de protección de datos;
  • se recaban las opiniones de los interesados o representantes.

Descripción del tratamiento

Se describe, sistemáticamente:

  • la naturaleza, ámbito, contexto y fines del tratamiento;
  • los datos personales registrados, destinatarios y período de conservación;
  • las operaciones de tratamiento;
  • los medios de los que dependen los datos (hardware, software, redes …), y
  • se tiene en cuenta el cumplimiento de códigos de conducta.

Necesidad y proporcionalidad

Se describen las medidas que contribuyen a cumplir con:

Gestión de riesgos

Se identifica, analiza, estima y evalúa, desde la perspectiva del interesado, el riesgo para la confidencialidad, integridad y disponibilidad:

  • teniendo en cuenta el origen del riesgo;
  • identificando efectos posibles sobre los derechos y libertades en caso que se materialicen accesos ilegítimos, modificaciones no deseadas o desapariciones de datos;
  • identificando las amenazas para la confidencialidad, integridad y disponibilidad de los datos, y
  • estimando la probabilidad y gravedad.

Se determinan las medidas para tratar los riesgos.

Participan las partes interesadas

  • Se recaba el asesoramiento del delegado de protección de datos, y
  • se recaban las opiniones de los interesados o representantes.

Hecha la evaluación de impacto de protección de datos, esta y el tratamiento evaluado deberán revisarse periódicamente o, al menos, cada vez que cambie el riesgo.

Hecha la evaluación de impacto de protección de datos, esta y el tratamiento evaluado deberán revisarse periódicamente o, al menos, cada vez que cambie el riesgo.

Cuándo debes comunicar la PIA a la autoridad de protección de datos

Una vez evaluada la probabilidad de que una amenaza se materialice y el impacto que este tendría para los derechos y libertades de las personas físicas, obtendrás el valor del riesgo.

Cuando el riesgo sea alto y no puedas adoptar controles para mitigar ese riesgo o los controles que has previsto adoptar no lo reducen suficientemente, te quedará  un riesgo residual alto y deberás consultar a la autoridad de protección de datos antes de iniciar las actividades de tratamiento, además de comunicarle la evaluación de impacto realizada. Así lo indica el artículo 36.1, que establece:

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

También deberás consultar a la autoridad de protección de datos y requerir su autorización previa cuando así lo haya previsto una ley en relación con los tratamientos para el ejercicio de una misión realizada en interés público, especialmente los relacionados con la protección social y la salud pública.

Por lo que respecta al contenido de la consulta previa, el RGPD te exige aportar, además de la evaluación de impacto, la siguiente información:

  1. las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;
  2. los fines y medios del tratamiento previsto;
  3. las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el Reglamento;
  4. los datos de contacto del delegado de protección de datos, cuando lo haya, y
  5. cualquier otra información que te solicite la autoridad de control.

Si la autoridad de protección de datos considera que el tratamiento puede infringir el Reglamento, deberá asesorarte por escrito en un plazo de ocho semanas, prorrogables en seis semanas, y estará facultada para ejercer cualquiera de sus poderes, incluidos los sancionadores.

Cuál es la sanción por incumplir las obligaciones referentes a la EIPD

No llevar a cabo una EIPD cuando el tratamiento la requiera, realizarla de forma incorrecta o no consultar a la autoridad de protección de datos cuando sea necesario, puede exponerte a una multa administrativa de hasta 10 millones de euros o, si eres una empresa, una cuantía equivalente al 2% del volumen de negocio total anual global, la que sea de cuantía superior.

Herramienta de la CNIL para hacer evaluaciones de impacto del RGPD

La CNIL publicó una solución para realizar PIAs de código abierto que tiene por fin ayudar a los responsables a realizar evaluaciones de impacto de protección de datos.

La aplicación, que se encuentra disponible principalmente en francés y en inglés, ha sido traducida por la comunidad a otra multitud de lenguas, incluyendo el español.

La herramienta para evaluaciones de impacto de protección de datos de la CNIL puede ser descargada y ejecutada fácilmente en un ordenador como versión única independiente, o también se puede usar en los servidores de una organización integrándola con otras herramientas y sistemas internos.

Puedes acceder a más información sobre esta herramienta y el software de PIA de la CNIL desde aquí.

Contactar

¿Necesitas ayuda con la evaluación de impacto?

Házmelo saber, estaré encantado de ayudarte.
Contactar

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo