EIPD RGPD

Para tratamientos de alto riesgo

Una Evaluación de Impacto en la protección de datos (EIPD) no se requiere siempre.

El RGPD considera que sí es obligatorio «cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas«.

La EIPD es también un ejercicio de proactividad a la hora de cumplir con el RGPD cuando, con carácter preventivo, cualquier responsable de tratamiento decide identificar, evaluar y gestionar los riesgos sobre los datos personales.

¡EVALÚA LOS RIESGOS ANTES DE INICIAR EL TRATAMIENTO DE DATOS!

Algunas operaciones sobre los datos personales pueden suponer un alto riesgo para los derechos y libertades de los interesados.

Se requiere entonces verificar si es posible llevar a cabo dichos tratamientos mediante una herramienta avanzada de análisis de riesgos.

Nosotros podemos realizar esa Evaluación de Impacto por ti

Tratamientos que requieren EIPD

  • Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  • Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  • Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  • Tratamientos que impliquen el uso de datos a gran escala.
  • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  • Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  • Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  • Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Aunque el tratamiento de datos personales que proyectas sea de alto riesgo no significa que esté prohibido automáticamente.

El objetivo de una EIPD es desplegar una serie de medidas de seguridad o controles que permitan minimizar los riesgos del tratamiento de datos personales a unos niveles considerados aceptables

Podemos evaluar y gestionar los riesgos de tu actividad con controles adecuados.

Ventajas de cumplir el RGPD

Minimiza los riesgos

Evita las elevadas sanciones de la AEPD por incumplimientos graves y otros daños a la reputación de tu empresa o negocio

Clientes satisfechos

A los clientes les gustan las empresas que se preocupan por la privacidad personal y familiar, y respetan sus derechos

Empresas proactivas

Ya no basta con no incumplir, hay que demostrar de forma constante y diligente que se cumple la norma, y eso exige más proactividad

Transmite confianza

El cumplimiento del RGPD genera una imagen seria y confiable de tu negocio a otras empresas y también a las administraciones públicas

Gestores tranquilos

Sabiendo que los datos personales que trata su empresa tiene medidas de seguridad adecuadas y sin fugas de información

Partes de una EIPD

1. Descripción

Describimos al detalle el tratamiento o tratamientos cuya puesta en marcha probablemente genere un alto riesgo para los derechos y libertades de tus usuarios, clientes, trabajadores, etc. Hacemos todo el «ciclo de vida» de los datos.

2. Gestión de riesgo

Identificamos con detalle los riesgos de cumplimiento normativo que tiene tu tratamiento, evaluamos esos riesgos y establecemos medidas de control adecuadas. Si persiste el riesgo, consultamos a la AEPD (trámite requerido).

3. Plan de Acción

Una vez supervisado y revisado todo el proceso parte por parte, elaboramos nuestras conclusiones y las plasmamos en un informe jurídico junto con aquellos controles finales que permitirán que el tratamiento sea conforme al RGPD.

Implanta el RGPD

Con independencia de que tengas que realizar una EIPD porque vayas a iniciar un tratamiento de datos personales «de alto riesgo», es aconsejable que la total actividad de tu negocio o empresa esté adaptada tanto al RGPD como a la nueva ley de protección de datos (LOPDGDD de 2018).

Realiza la adaptación al RGPD con nosotros y obtén descuentos en la Evaluación de Impacto en la protección de datos (EIPD).

Adáptate ya al RGPD

Contacta con nosotros hoy mismo y consigue un 20% de descuento sobre las tarifas habituales

Dudas frecuentes

Si el tratamiento o tratamientos que proyectas llevar a cabo incurre en dos supuestos de los «Tratamientos que requieren una EIPD» (ver más arriba), estás prácticamente obligado a llevar a cabo la Evaluación de Impacto. Una gran medida de proactividad y de accountability, aunque no exista obligación de realizar una EIPD, es analizar si es necesario o no llevarla a cabo. Dicho análisis lo llevamos a cabo en nuestro proceso de Adaptación al RGPD.

Solicítanos presupuesto cuanto antes. La EIPD es un proceso con múltiples fases que requieren retroalimentación y supervisión continuas, e incluso consultas a terceros y/o a la autoridad de control. Todo ello puede llevar varias semanas. Reserva fechas a la mayor brevedad.

La EIPD es una herramienta para evaluar y controlar el riesgo de un tratamiento y el informe resultante de esa evaluación. Pero no significa que toda la actividad de tu empresa esté adecuada al RGPD. Para eso te recomendamos el servicio de Adaptación al RGPD.

Prestamos este servicio a empresarios y compañías de cualquier lugar de España. En el presupuesto especificamos los gastos de desplazamiento, si proceden

El RGPD consagra el principio o regla de «privacy by design» (privacidad desde el diseño). La EIPD debe realizarse con carácter previo a poner en marcha el tratamiento de alto riesgo. Si este ya se hubiera puesto en marcha, se puede realizar al EIPD, lanzando el correspondiente proyecto para poner en marcha las medidas de control adecuadas a los riesgos detectados.

No. El responsable es la persona física o jurídica (autónomo o empresa). No el Delegado de Protección de Datos. Si tu organización cuenta con un DPD, éste supervisará la EIPD pero no es su obligación realizarla. Podemos coordinarnos con esa figura para realizar un buen trabajo.

¿Por qué confiar en mí?

19 años de experiencia como asesor jurídico de empresas y redactor de textos legales en ámbito de internet y de la protección de datos personales, amplia red de contactos jurídicos, equipo multidisciplinar y en formación continua, alto nivel de autoexigencia y esfuerzo…