Una EIPD es un proceso en el que el responsable del tratamiento, antes de iniciar un procedimiento de tratamiento de datos con alto riesgo para los derechos y libertades fundamentales de los interesados, evalúa el impacto de las operaciones de tratamiento previstas en la protección de los datos personales (artículo 35, apartado 1, del RGPD). Si los responsables del tratamiento se enfrentan a un riesgo elevado, debe realizarse una EIPD con arreglo al artículo 35, apartado 7, del RGPD. En el caso de los datos geoespaciales, el Comité Europeo de Protección de Datos (CEPD) consideró “que ha de llevarse a cabo una evaluación de impacto relativa a la protección de datos (EIPD) antes de empezar a utilizar una aplicación de este tipo por cuanto se considera que el tratamiento puede entrañar un alto riesgo (datos sanitarios, adopción previa a gran escala, seguimiento sistemático, utilización de una nueva solución tecnológica). El CEPD recomienda encarecidamente la publicación de las EIPD.”^[1].

Es importante destacar que se debe realizar una EIPD siempre que el responsable considere que un tratamiento concreto implica un riesgo elevado. La mayoría de las agencias de protección de datos están imponiendo EIPD cuando el tratamiento implica la localización sistemática de los interesados.^[2] Por lo tanto, puede ocurrir perfectamente que un desarrollador tenga que realizar varios EIPD durante el proceso de producción. De hecho, consideramos que estas evaluaciones deben ser revisadas y actualizadas cuando sea posible y especialmente cuando el responsable del tratamiento deba definir las políticas de conservación y eliminación de datos.

En determinadas situaciones, si el resultado de la EIPD es que la actividad de tratamiento prevista tiene un alto riesgo de causar daño a los derechos y libertades fundamentales de los interesados, el responsable del tratamiento debe solicitar el dictamen de la autoridad nacional de control, tal como prescribe el artículo 36 del RGPD. Algunos Estados miembros han publicado listas que contienen ejemplos de actividades de tratamiento de datos que activarían esta EIPD obligatoria; entre esos ejemplos, podemos identificar situaciones que coinciden con las técnicas de tratamiento de datos geoespaciales. Esto es especialmente cierto si incorporan técnicas de IA. Las autoridades de supervisión pueden exigir la adopción de determinadas medidas para mitigar el riesgo, si es posible, o prohibir el uso del dispositivo o sistema si no es posible.

Lista de control: ¿es necesaria una EIPD?  El responsable del tratamiento determinó las jurisdicciones en las que tendrán lugar las actividades de tratamiento de datos.  El responsable del tratamiento ha comprobado si esas jurisdicciones han promulgado listas en las que se indica el tratamiento que requiere una EIPD obligatoria y ha visto si el tratamiento de datos previsto está cubierto por esas disposiciones.  Si el responsable del tratamiento no está seguro de la necesidad de llevar a cabo una EIPD, debe consultar con el DPD o, en su lugar, con el departamento jurídico del responsable.  En caso de ser necesaria, el responsable del tratamiento llevó a cabo una EIPD.  En caso de ser necesaria, el responsable realizó una consulta previa a la autoridad de control correspondiente.  Si se sugirieron cambios, el responsable siguió el consejo de la autoridad de control.

 

 

1. CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf ↑
2. Véase, por ejemplo, la posición adoptada por la Agencia Española de Protección de Datos en: https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf ↑