El Reglamento General de Protección de Datos (RGPD) contempla la “Evaluación de Impacto sobre la Protección de Datos”.
¿De qué estamos hablando?.
En aquellos supuestos de:
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados, o que les afecten significativamente de modo similar.
- Tratamientos a gran escala (*) de datos sensibles.
- Observación sistemática a gran escala de una zona de acceso público.
Los responsables del tratamiento (el RGPD no hace mención a “fichero”) deberán realizar un Evaluación de impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de estos tratamientos que, probablemente, conllevan un alto riesgo para los derechos y libertades de los interesados; y aunque el RGPD establece un contenido mínimo en las EIPD, no contempla metodología alguna.
Cuando se identifique un alto riesgo que no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, los responsables del tratamiento deberán consultar a la autoridad de protección de datos competente que, incluso, podría llegar a prohibir la operación de tratamiento.
Las autoridades están obligadas a elaborar listas adicionales de tratamientos de datos en los que habrá que hacer una EIPD, así como también está previsto que elaboren listas de aquellos tratamientos que no la requieran. El hecho de que existan estas dos listas no exime al responsable del tratamiento de efectuar un análisis de riesgo.
Una EIPD puede realizarse para varios tratamientos similares que conlleven riesgos similares.
Cuando las condiciones del tratamiento cambien, o varíen los riesgos asociados a él, es posible que sea necesario una nueva EIPD.
(*) Según el “Grupo del artículo 29” el concepo “gran escala”:
- Dependerá del número de interesados afectados, en términos absolutos y/o como proporción de una determinada población.
- Del volumen de datos y la variedad de datos tratados.
- De la duración o permanencia de la actividad de tratamiento.
- De la extensión geográfica de la actividad del tratamiento.
