¿En qué casos debo realizar una EIPD? ¿Existen listas de actividades de tratamiento que requieran una EIPD?
Home » RGPD » Principales herramientas y acciones » Evaluación de Impacto relativa a la Protección de Datos (EIPD)  » ¿En qué casos debo realizar una EIPD? ¿Existen listas de actividades de tratamiento que requieran una EIPD?

El Grupo de Trabajo del Artículo 29 ha proporcionado la orientación más universalmente aplicable a esta cuestión[1]. Sobre esta base, muchas autoridades de supervisión han publicado orientaciones más específicas en su idioma nacional, centradas en sus preocupaciones nacionales.

Las orientaciones ofrecen un procedimiento para determinar si una actividad de tratamiento “puede entrañar un alto riesgo para los derechos y libertades de las personas físicas”, es decir, si es necesaria una EIPD. Consta de nueve criterios sobre la actividad de tratamiento. Para cada criterio, el responsable del tratamiento debe decidir (y documentar) si es pertinente para la actividad de tratamiento en cuestión. La guía del grupo de trabajo incluye ejemplos que ilustran esto.

En concreto, los nueve criterios se refieren a lo siguiente

  1. Evaluación o puntuación;
  2. Toma de decisiones automatizada con efectos legales o similares significativos;
  3. Control sistemático;
  4. Datos sensibles o de carácter muy personal;
  5. Datos procesados a gran escala;
  6. Cotejar o combinar conjuntos de datos;
  7. Datos relativos a personas vulnerables;
  8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas;
  9. Impide a los interesados ejercer un derecho o utilizar un servicio o un contrato;

A partir de la evaluación de estos criterios, se decide si el tratamiento puede suponer un riesgo elevado: “En la mayoría de los casos, un responsable del tratamiento puede considerar que un tratamiento que cumpla dos criterios requerirá la realización de una EIPD“.[2] Sin embargo, esto es sólo indicativo, y un responsable del tratamiento puede decidir que:

  • un tratamiento que sólo cumpla uno de estos criterios requiere una EIPD;[3]
  • un tratamiento que cumpla (al menos) dos criterios no es probable que dé lugar a un riesgo[4] elevado.

En este último caso, el responsable del tratamiento debe justificar esta decisión. En cualquier caso, para demostrar el cumplimiento (artículo 5, apartado 2, del RGPD), debe documentarse el procedimiento para determinar si es necesaria una EIPD.

Como orientación adicional, las autoridades de control (nacionales) deben publicar una lista del tipo de operaciones de tratamiento que requieren una EIPD (artículo 35, apartado 4, del RGPD) y también pueden publicar una lista de operaciones en las que no es necesaria una EIPD (artículo 35, apartado 5, del RGPD). Estas listas se presentan alComité Europeo de Protección de Datos y se publican a nivel de la UE[5]; en la práctica, estas publicaciones pueden actuar como un repositorio accesible de los requisitos y expectativas de la EIPD a nivel nacional.

Aconsejamos seguir el procedimiento nacional o el previsto por el Grupo de Trabajo del Artículo 29 y documentarlo aunque se demuestre que no es necesaria una EIPD.

 

 

  1. Véase wp248rev.01, Sección III.B .,páginas 8-13. El enlace de descarga se encuentra en la nota a pie de página 137.
  2. wp248rev.01, Sección III.B., página 11, 2º párrafo, resaltado añadido por los autores.
  3. wp248rev.01, Sección III.B., página 11, 3er párrafo.
  4. wp248rev.01, Sección III.B., página 12, 2º párrafo.
  5. Ver https://edpb.europa.eu/our-work-tools/our-documents/topic/data-protection-impact-assessment-dpia_en

 

Ir al contenido