La Evaluación de Impacto en la Protección de Datos recibe un tratamiento destacado en el Reglamento General de Protección de Datos dentro de los instrumentos dedicados a a analizar los riesgos que el tratamiento de datos puede producir sobre los derechos y libertades de los afectados o titulares de tales datos.
Siendo el enfoque del riesgo prioritario en el RGPD, la realización de una EIPD se configura como una operación preceptiva al momento de emprenderse tratamientos especialmente invasivos.
Desde un punto de vista finalista, nos interesa primordialmente el resultado del propio proceso de Evaluación de Impacto, es decir, el informe que arroje una conclusión sobre si procede o no iniciar el tratamiento de los datos.
La realización de la EIPD en los casos donde sea necesaria, es uno de las fases esenciales en la hoja de ruta de la adaptación al RGPD.
Introdución a las EIPD
La Evaluación de impacto en la protección de datos (en acrónimo, EIPD) como análisis anticipado de potenciales riesgos para los datos personales en las operaciones de tratamiento que se proyectan, es una pieza esencial para explicar que el Reglamento General de Protección de Datos tiene su enfoque en el riesgo, como luego veremos
¿Qué es una EIPD?
Podemos definir la Evaluación de Impacto en la protección de datos como un proceso, como una herramienta de análisis de riesgos o, reduciéndolo mucho a su aspecto material, como un documento o serie de documentos (que sirven de soporte a la EIPD).
En todo caso, la EIPD tiene que posibilitar al responsable del tratamiento la identificación, la evaluación y la gestión de los riesgos ligados al tratamiento de datos personales.
Por eso, al determinar qué es una Evaluación de impacto en la protección de datos, podemos decir que la EIPD es un Análisis de Riesgo RGPD que tiene mayor alcance y profundidad, ya que en la EIPD vamos a establecer medidas de control para transformar “altos riesgos” para los derechos y libertades de las personas físicas, en riesgos aceptables, o vamos a suprimir (deseable pero no siempre conseguible) dichos riesgos.
Otro rasgo destacado de la Evaluación de impacto en la protección de datos, según el documento WP248 del Grupo de Trabajo del Artículo 29, es el de la continuidad.
La Evaluación de impacto en la protección de datos es un proceso continuo, especialmente cuando la actividad de tratamiento es dinámica y está sujeta a cambios permanentes.
¿Es obligatorio realizar una Evaluación de impacto en la protección de datos?
Realizar una EIPD no es obligatorio en todo caso, conforme al RGPD.
Será la probabilidad de la existencia de un alto riego para los derechos y libertades de las personas físicas (el honor, la intimidad, pero también la dignidad, la libertad de pensamiento, la libertad de expresión, la libertad de circulación, la prohibición de discriminación, etc.) lo que determine si un tratamiento requiere una Evaluación de Impacto en la protección de datos.
La EIPD entronca con el principio de proactividad consagrado por el Reglamento General de Protección de Datos.
El proceso en que consiste la EIPD debe considerarse como de mejora continua. Un instrumento adecuado para reforzar y demostrar el cumplimiento.
Hay que revisar la EIPD cada vez que haya cambios significativos sobre el tratamiento, en la medida en que dichos cambios generen nuevos riesgos a los derechos y libertades de las personas físicas.
Como herramienta de control del riesgo (un alto riesgo para los derechos y libertades de las personas físicas) la EIPD ha de realizarse con carácter previo a la puesta en marcha del tratamiento, con anterioridad al inicio del procesamiento de los datos.
Como puede observarse, la EIPD está estrechamente vinculada a un tratamiento concreto de datos personales. Pero nada obsta que se pueda realizar una EIPD que analice, con el debido detalle, los riesgos de varias operaciones de tratamiento realizadas por un responsable siempre en los mismos términos de naturaleza, alcance, contexto, fines y riesgos.
Régimen jurídico de las Evaluaciones de impacto en la protección de datos
El Considerando 84 del RGPD ya muestra los rasgos básicos de una EIPD:
“A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento”
Posteriormente, el RGPD dedica los artículos 35 y 36 a este instrumento de identificación y control de riesgos sobre el tratamiento de datos personales.
La Ley de Protección de Datos de 2018 (LOPDGDD) contiene varias previsiones referidas a la EIPD.
En particular destaca la referencia a la Evaluación de Impacto en la protección de datos en el artículo 28, entre las “obligaciones generales del responsable y del encargado de tratamiento”.
Metodología de la EIPD
Existen diversas metodologías para llevar a cabo una Evaluación de impacto en la protección de los datos personales. Ninguno de estos métodos de llevar a cabo este instrumento de riesgo es preceptivo, pudiendo elegir el responsable del tratamiento el que estime más oportuno.
En particular citaremos dos metodologías:
💡La propuesta por el Grupo de Trabajo del Artículo 29 (WP29), especialmente en su documento WP248: Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, Reglamento General del Protección de Datos.
💡La Guía Práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD, y publicado por la Agencia Española de Protección de Datos en su sitio web (aepd.es).
Sea cual fuere la metodología utilizada para realizar la Evaluación de Impacto es fundamental que toda la información se exponga en un lenguaje claro, directo, comprensible y que se utilice numeroso material gráfico (infografías, imágenes descriptivas, etc) para facilitar la comprensión de todo el proceso de análisis de riesgo y las conclusiones a que el mismo lleva.
Fases de una Evaluación de impacto en la protección de datos
🔎 FASE PREVIA: VALORACIÓN DE NECESIDAD DE UNA EIPD
El análisis de la necesidad de realizar una EIPD debe partir de la siguiente pregunta: “¿Estamos obligados a llevar a cabo una Evaluación de Impacto relativa a Protección de Datos para este o estos tratamientos?”
El principio de cumplimiento proactivo del Reglamento General de Protección de Datos (accountability) nos va a obligar a documentar esa respuesta tanto en el caso de que hayamos respondido positiva o negativamente a la pregunta.
Si hemos determinado que no es necesario realizar una EIPD para un determinado tratamiento, emitiremos el correspondiente informe documentando esa “no necesidad” y procederemos a realizar un análisis de mínimos, pues hemos considerado que el tratamiento reviste escaso riesgo para los interesados.
La determinación de la existencia de probabilidad del alto riesgo es un ejercicio proactivo que debe realizar el responsable del tratamiento con el asesoramiento del Delegado de Protección de Datos.
El artículo 35.3 del RGPD proporciona unos criterios para determinar la probabilidad de “alto riesgo”, que son como avances de tipos de operaciones cuyo impacto en la protección de datos es clara.
En concreto, esos supuestos en que es necesario realizar la Evaluación de impacto son:
✅ evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
✅ tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
✅ observación sistemática a gran escala de una zona de acceso público.
El artículo 35.4 impone a las autoridades de control de los Estados miembros la obligación de crear y publicar un listado de operaciones que requieren una EIPD.
Más adelante veremos el Listado publicado por la Agencia Española de Protección de Datos.
Potestativamente, las autoridades de control de cada territorio podrán establecer listados de excepciones a la obligación de realizar una Evaluación de Impacto sobre la protección de los datos.
DESCRIPCION DE LOS TRATAMIENTOS DE DATOS PERSONALES
En la metodología expresada por la Agencia de Protección de Datos en la Guía Práctica para la realización de una EIPD, superada la fase de análisis previo de la necesidad de realizar una Evaluación de Impacto relativa a Protección de Datos, se pasa al examen del contexto del tratamiento de los datos, en el que se incluye la elaboración exhaustiva del ciclo de vida de los datos y el análisis de necesidad y proporcionalidad del tratamiento.
En esta fase de la EIPD consistente en la descripción de los tratamientos cobran de nuevo mucha relevancia los aspectos gráficos. Se podría describir con diagramas o infografías el ciclo de vida de los datos, como ayuda a la exposición textual de la propia Evaluación de Impacto.
Es conveniente al describir los tratamientos hacer referencia a la posible adscripción del responsable del tratamiento que está enfrentando el proceso de Evaluación de Impacto sobre la Protección de Datos a Códigos de Conducta (artículo 40 del Reglamento General de Protección de Datos), que es bastante útil para demostrar (accountability) que se han elegido técnicas apropiadas para el tratamiento o se llevan a cabo medidas de seguridad adecuadas.
EVALUACIÓN DE LA NECESIDAD Y PROPORCIONALIDAD DE LOS TRATAMIENTOS
En esta fase se trata de responder a cuestiones claves para el desarrollo de la EIPD. Por ejemplo
❓¿Qué se va a hacer con los datos?
❓¿Para qué finalidad se van a tratar?
❓¿Qué tipología de datos y qué cantidad de datos se van a tratar?
❓¿Son necesarios todos ellos? ¿Se podría minimizar su tratamiento?
❗También es necesario tener clara la base jurídica (artículo 6.1 del RGPD) más adecuada para procesar esos datos personales.
La Agencia Española de Protección de Datos prevé en esta fase de la EIPD el sometimiento del tratamiento de datos al triple juicio de proporcionalidad (necesidad, idoneidad y proporcionalidad en sentido estricto)
El documento WP248 incluye en esta etapa otra fase llamada “Medidas previstas para demostrar la conformidad” que se correspondería con el momento de exponer las justificaciones que permiten realizar el tratamiento de datos una vez superado el triple juicio de ponderación.
Si se estima que el tratamiento diseñado por el responsable que está realizando la Evaluación de Impacto sobre la Protección de Datos no supera el juicio de ponderación, debería cumplirse lo previsto en el artículo 39 del Reglamento General de Protección de Datos:
“Los datos personales sólo se tratarán si la finalidad del tratamiento no se puede hacer razonablemente por otros medios”.
FASE DE GESTIÓN DE LOS RIESGOS
Este momento de la Evaluación de Impacto sobre la Protección de Datos procede a identificar los riesgos y a valorar dichos riesgos.
El enfoque del riesgo está en el mismo núcleo del Reglamento General de Protección de Datos. Así, por ejemplo, el artículo 25, al hablar de la protección de datos desde el diseño y por defecto, dice:
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados
Así pues, en esta fase de la EIPD propiamente se valora y estima la probabilidad y el impacto de que los riesgos previamente identificados se materialicen.
De esta manera el riesgo inherente al tratamiento surgirá de la fórmula siguiente:
Riesgo = Probabilidad X Impacto
A la hora de identificar y valorar los riesgos se puede acudir a diversos estándares (Magerit, Esquema Nacional de Seguridad, etc).
También consideramos el catálogo de amenazas previsto en la Guía de la Agencia Catalana de Protección de Datos (APDCAT) relativa a las Evaluaciones de impacto en la protección de datos como un excelente punto de partida.
También es interesante contar como checklist inicial el Listado de Cumplimiento Normativo relativo al Reglamento General de Protección de Datos publicado por la Agencia Española de Protección de Datos.
Identificados y valorados convenientemente los riesgos, la Evaluación de Impacto debe contener una respuesta ante esos riesgos.
Una serie de medidas de control que tienen como objetivo mitigar o minimizar los riesgos asociados a una operación de tratamiento, de tal manera que el riesgo residual fruto de esa medida de seguridad o salvaguarda sea mínimo o despreciable, o bien no exista riesgo (se mitigue el mismo).
DOCUMENTACIÓN DE LA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS
Finalizada la etapa de gestión de los riesgos, donde hemos identificado, analizado, valorado los riesgos y hemos establecido las oportunas medidas de control o salvaguardas (tanto desde el punto de vista de cumplimiento normativo como en otros aspectos técnicos, seguridad perimetral o ambiental, gestión humana de activos, etc), es preciso generar un documento que recoja estos puntos y también en qué circunstancias o transcurrido qué período de tiempo sería preciso volver a repetir el proceso de gestión de riesgos.
No olvidemos que la Evaluación de Impacto en la protección de datos es un proceso iterativo, donde puede ser oportuno, y a veces necesario, repetir las fases del mismo, en función de lo “dinámico” que sea el propio tratamiento de datos (las circunstancias de las operaciones de tratamiento).
Mientras que la metodología recomendada por la Agencia Española de Protección de Datos nos invita a elaborar en este punto de la EIPD, ya como conclusión de la Evaluación, un plan de acción, en otras metodologías, prefieren hablar del “informe de conclusiones”, donde se expone que se han observado los requisitos mínimos de contenido de la propia Evaluación de Impacto relativa a protección de datos, tal como los configura el artículo 35.7 del Reglamento General de Protección de Datos.
¿Hacer público el informe de la EIPD?
No es obligatorio conforme a lo establecido en el RGPD.
Pero publicar el informe en un lugar accesible, con un lenguaje claro, sencillo y compresible puede aumentar el nivel de confianza de los interesados en un determinado producto o servicio que materialice el tratamiento de sus datos. Además constituye una buena medida desde el punto de vista de accountability del RGPD.
CONSULTA A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
El artículo 36 del Reglamento General de Protección de Datos establece que cuando el resultado de la Evaluación de Impacto en la Protección de Datos siga arrojando un escenario de riesgo residual alto o muy alto, el responsable realizará una consulta a la autoridad de control (AEPD) en la que detallará:
a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;
b) los fines y medios del tratamiento previsto;
c) las medidas y garantías establecidas para proteger los derechos y libertades de los interesados;
d) en su caso, los datos de contacto del DPD;
e) el propio documento de la EIPD (con las fases expuestas hasta ahora, la metodología aplicada , y una explicación de cómo se ha llevado a cabo).
f) cualquier otra información que solicite la autoridad de control.
SEGUIMIENTO, SUPERVISIÓN Y REVISIÓN DE MEDIDAS DE LA EIPD
De nada sirve realizar una Evaluación de Impacto sobre Protección de Datos desde el diseño del tratamiento y con carácter previo, si después no se materializa, si después no se implanta la EIPD de forma práctica para garantizar los derechos y libertades inscritos “ab initio” bajo un alto riesgo.
Esa implantación adecuada de la EIPD, supervisando el cumplimiento de las medidas y salvaguardas propuestas es una de las funciones del Delegado de Protección de Datos, en aquellas organizaciones cuyo responsable del tratamiento lo haya designado (por ser preceptivo o de forma voluntaria).
Listado de operaciones de tratamiento que requieren una Evaluación de Impacto sobre Protección de Datos
La Agencia Española de Protección de Datos ha publicado una lista orientativa de aquellos tratamientos de datos que requerirían una EIPD, considerando que será necesario realizar tal Evaluación de Impacto en la protección de datos si se cumplen al menos dos criterios.
Cuantos más criterios de dicha lista de la AEPD se den en el tratamiento más certeza existirá de la necesidad de realizar tal herramienta de control de riesgo.
Estos son los items del Listado de la Agencia Española de Protección de Datos:
📌 Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
📌 Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
📌 Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
📌 Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
📌 Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
📌 Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
📌 Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
📌 Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
📌 Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
📌 Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
📌 Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.
