Una de las obligaciones de la empresa en materia de Protección de Datos, es llevar a cabo una Evaluación de Impacto en Protección de Datos Personales (EIPD), cuando sea probable que el tratamiento de datos personales implique “un alto riesgo”, especialmente si se utilizan nuevas tecnologías.
¿En qué situaciones se produce “un alto riesgo”?
- Cuando se crean perfiles de la persona en base a su rendimiento o condición (p.ej. de empleados, alumnos, pacientes, socios, participantes en un casting, ).
- Cuando se tratan datos personales especialmente protegidos (p.ej. huella dactilar, reconocimiento facial, salud, condenas o infracciones penales, afiliación sindical, origen étnico o racial, vida u orientación sexual, etc.).
- Cuando se tratan datos de personas en situación de vulnerabilidad (p.ej. menores, discapacitados o usuarios del canal de denuncias interno de la empresa, etc.).
- Cuando se realizan transferencias internacionales de datos personales (p.ej. para el alojamiento de datos, al formar parte de un grupo multinacional,).
- Cuando es necesario valorar el interés legítimo para realizar determinados tratamientos.
Evaluación de Impacto en Protección de Datos Personales (EIPD), cuando sea probable que el tratamiento de datos personales implique “un alto riesgo”.
¿Cuál es el objetivo de una Evaluación de Impacto de Protección de Datos Personales?
El objetivo es evitar cualquier tipo de:
- discriminación,
- pérdidas financieras,
- daño para la reputación,
- usurpación de identidad,
- fraude,
- pérdida de confidencialidad
- o cualquier otro perjuicio económico, moral o social.
¿Qué sanciones se aplican por no realizar una Evaluación de Impacto de Protección de Datos Personales?
No realizar la pertinente evaluación de impacto supone una infracción grave del RGPD y la LOPDGDD, pudiendo llegar la multa hasta los 10.000.000 EUR o una cuantía equivalente al 2% del volumen de negocio anual.
Es importante conocer las novedades en el ámbito de Derecho Digital para las empresas.
