Verificar si es necesaria una evaluación de impacto de la protección de datos
Home » Biometría » Exposición y pautas paso a paso » Fase de preparación » Verificar si es necesaria una evaluación de impacto de la protección de datos

Según el Grupo de Trabajo del Artículo 29, una Evaluación de Impacto sobre la Protección de Datos (EIPD) es “un proceso diseñado para describir el tratamiento [de datos personales], evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, evaluándolos y determinando las medidas para hacerles frente”[1].

El artículo 35.1 del RGPD exige a los responsables del tratamiento que realicen una EIPD cuando el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de las personas físicas. Por lo tanto, la EIPD no siempre es obligatoria. Sin embargo, los responsables del tratamiento deben realizar siempre la evaluación preliminar de riesgos para determinar si es probable que el tratamiento dé lugar a riesgos elevados para los derechos y libertades de las personas físicas. Esta evaluación preparatoria forma parte del proceso de la EIPD. Por lo tanto, se puede decir que ciertos elementos de la EIPD son obligatorios para, al menos, determinar si es necesaria una EIPD.

Los riesgos para los derechos y libertades de los interesados se mencionan en el considerando 75 del RGPD. Se trata de los riesgos que podrían provocar un daño físico, material o inmaterial al interesado en cuestión (por ejemplo, que se le deniegue el acceso a un servicio tras una identificación falsa negativa).

Ejemplos de riesgos para los derechos y libertades
Discriminación Robo de identidad o fraude
Pérdida financiera Daño a la reputación
Pérdida de la confidencialidad del secreto profesional Anulación no autorizada de la seudonimización
Desventaja económica o social Prevención del ejercicio del control de los datos personales

El RGPD no define el concepto de “alto riesgo”. Sin embargo, el Grupo de Trabajo del Artículo 29 elaboró una lista de nueve criterios que los responsables del tratamiento pueden seguir para entender si el tratamiento puede considerarse de alto riesgo[2].

Criterios de tratamiento de alto riesgo
Criterio1 Evaluación o puntuación (por ejemplo, elaboración de perfiles)
Criterio2 Toma de decisiones automatizada con efectos legales o similares significativos
Criterio3 Control sistemático
Criterio4 Datos sensibles o de carácter muy personal
Criterio5 Datos procesados a gran escala
Criterio6 Cotejar o combinar conjuntos de datos (más allá de las expectativas razonables del interesado)
Criterio7 Datos relativos a personas vulnerables
Criterio8 Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas
Criterio9 Cuando el tratamiento impide por sí mismo que los interesados ejerzan un derecho o utilicen un servicio o un contrato

Los investigadores que realicen sus actividades de investigación deben tener en cuenta todos ellos para saber si es necesario realizar una EIPD. Sin embargo, los criterios cuatro y ocho son especialmente relevantes a efectos de este documento. El criterio cuatro es importante cuando se procesan datos biométricos durante la actividad de investigación. El criterio ocho es importante en el contexto de la investigación sobre las TIC, ya que esta actividad podría introducir una nueva tecnología para procesar los datos (por ejemplo, formas innovadoras de capturar y analizar muestras de voz).

El artículo 35.4 del RGPD exige que las autoridades nacionales de control publiquen la lista de actividades de tratamiento de datos para las que es obligatoria una EIPD[3]. Esto podría ofrecer más orientación sobre lo que constituye una EIPD obligatoria de tratamiento, y los investigadores deben prestar atención a la posición de las autoridades de supervisión pertinentes. Asimismo, los investigadores deben solicitar orientación al DPD de la organización, dada la complejidad de la tarea en cuestión.

Para poder demostrar el cumplimiento, debe documentarse y conservarse la evaluación de si el tratamiento puede dar lugar a riesgos elevados para los derechos y libertades de las personas físicas.

 

 

  1. Grupo de Trabajo del Artículo 29, ‘Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing Is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679’, October 2017, 4.
  2. Grupo de Trabajo del Artículo 29, 9–11.
  3. En este sentido, las autoridades nacionales de control han publicado en sus sitios web la lista correspondiente. En algunos casos, el Comité Europeo de Protección de Datosya ha emitido un dictamen al respecto sobre las actividades incluidas en cada lista. Para más información, véase European Data Protection Board, ‘Opinion 6/2019 on the Draft List of the Competent Supervisory Authority of Spain Regarding the Processing Operations Subject to the Requirement of a Data Protection Impact Assessment (Article 35.4 GDPR)’, March 2019.

 

Ir al contenido