Evaluación de Impacto

¿Qué es una evaluación de impacto en la protección de datos?

Una Evaluación de Impacto en la Protección de Datos Personales es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

La gran ventaja derivada de la realización de una Evaluación de Impacto en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información es que permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori, cuando el servicio está en funcionamiento o, lo que es peor, cuando la lesión de los derechos se ha producido. En estos casos no solo se incurre en costes económicos, sino también de imagen para la organización cuya reputación se ve afectada.

La realización de una Evaluación de Impacto en la Protección de Datos Personales es un excelente ejercicio de transparencia, base de una relación de confianza. Ayuda a planificar las respuestas a posibles impactos en la protección de datos de los afectados, a gestionar las relaciones con terceras partes implicadas en el proyecto y a educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.

En cualquier caso, a través de la evolución de los trabajos e investigaciones, se ha constatado que hay un conjunto de elementos comunes que forman parte del núcleo de cualquier procedimiento que se pueda considerar como una evaluación de impacto en el derecho fundamental a la protección de datos personales:

Es algo más que la mera comprobación del cumplimiento normativo.

Debe realizarse con anterioridad a la implantación de un nuevo producto o servicio o sistema de información.

Es un proceso sistemático para evaluar los riesgos existentes para la privacidad de las personas y su nivel de impacto.

Permite analizar los riesgos que un determinado sistema de información, producto o servicio puede entrañar y gestionar los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Debe ser sistemática y reproducible, y orientada a procesos más que a producir un informe final.

Debe permitir identificar de forma clara a los responsables de las distintas tareas.

Cuando hacer una evaluación de impacto en la protección de datos personales.

Cuando exista la posibilidad de que un tratamiento suponga un alto riesgo para los derechos y libertades de los interesados. El RGPD establece que será obligatorio llevar a cabo una EIPD en los siguientes casos:

Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas.

Tratamiento a gran escala de datos personales que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, datos relativos a la salud, vida sexual u orientación sexual, además datos personales relativos a condenas e infracciones penales.

Observación sistemática a gran escala de una zona de acceso público.