¿Existe un método estandarizado para llevar a cabo una EIPD? ¿Existen esquemas, plantillas o herramientas de apoyo a la realización de una EIPD?
Home » RGPD » Principales herramientas y acciones » Evaluación de Impacto relativa a la Protección de Datos (EIPD)  » ¿Existe un método estandarizado para llevar a cabo una EIPD? ¿Existen esquemas, plantillas o herramientas de apoyo a la realización de una EIPD?

Dado que la EIPD es un instrumento relativamente nuevo introducido a nivel de la UE con el RGPD, todavía se discute mucho sobre cómo debe llevarse a cabo exactamente una EIPD y existen varias escuelas de pensamiento. Algunas autoridades nacionales de supervisión han publicado orientaciones sobre el tema, o incluso herramientas y plantillas específicas. Aunque una EIPD es evaluada principalmente por la autoridad de supervisión competente (es decir, típicamente nacional), la orientación que aquí se ofrece no puede ir en mérito de lo que está disponible en todos los Estados miembros. En su lugar, la orientación se basa en el dictamen del Grupo de Trabajo de Protección de Datos del Artículo 29 sobre la EIPD (wp248rev.01)[1] que ha sido adoptado[2] formalmente por el Comité[3] Europeo de Protección de Datos. Según el apartado 1 del artículo 70 del RGPD, “el Comité velará por la aplicación coherente del presente Reglamento” y es, por tanto, la mejor fuente de asesoramiento a nivel europeo.

La figura que ilustra el proceso iterativo para llevar a cabo una EIPD que proporciona el Grupo de Trabajo ya se ha mostrado en la Figura 1 anterior. Se trata de un ciclo que contiene los siguientes pasos:

  1. Descripción del tratamiento previsto.
  2. Evaluación de la necesidad y la proporcionalidad.
  3. Medidas ya previstas.
  4. Evaluación de los riesgos para los derechos y libertades [de las personas físicas].
  5. Medidas previstas para hacer frente a los riesgos.
  6. Documentación.
  7. Seguimiento y revisión.

El Grupo de Trabajo explica que hay flexibilidad en la forma de estructurar una EIPD:

“El RGPD ofrece a los responsables del tratamiento de datos flexibilidad para determinar la estructura y la forma precisas de la EIDP, a fin de permitir que ésta se ajuste a las prácticas de trabajo existentes. Hay una serie de procesos establecidos en la UE y en todo el mundo que tienen en cuenta los componentes descritos en el considerando 90. Sin embargo, sea cual sea su forma, la EIPD debe ser una auténtica evaluación de los riesgos que permita a los responsables del tratamiento adoptar medidas para hacerles frente.” [4]

El Grupo de Trabajo da ejemplos de enfoques conocidos en la actualidad en su Anexo I[5]. Estos incluyen “marcos” de EIPD genéricos, nacionales y específicos del sector. “El [Grupo de Trabajo] alienta el desarrollo de marcos de EIPD específicos del sector“.[6]

Así pues, los responsables del tratamiento son libres de elegir la estructura y el formato más adecuados para una EIPD, siempre que se cumplan determinados requisitos:”Corresponde al responsable del tratamiento de datos elegir una metodología, pero ésta debe ajustarse a los criterios previstos en el anexo 2“.[7] El Grupo de Trabajo “propone [estos] criterios que los responsables del tratamiento pueden utilizar para evaluar si una EIPD, o una metodología para llevar a cabo una EIPD, es suficientemente completa para cumplir con el RGPD”[8].

Normalmente, las diferentes metodologías vienen con esquemas, plantillas y/o herramientas.

Por lo tanto, el resto de esta sección se concentra en estos criterios para una EIPD aceptable proporcionados por el Grupo de Trabajo.

Los criterios reflejan en su mayor parte la estructura y el contenido del apartado 7 del artículo 35, pero aportan detalles e interpretaciones adicionales. A continuación, se presenta el contenido con algunos cambios de redacción y una pequeña reestructuración para mayor claridad[9]:

  1. Descripción sistemática del tratamiento (artículo 35, apartado 7, letra a) del RGPD)
  2. Evaluación de la necesidad y la proporcionalidad (artículo 35, apartado 7, letras b) y d) del RGPD)
  3. Gestión de los riesgos para los derechos y libertades de los interesados (artículo 35, apartado 7, letras c) y d) del RGPD)
  4. Participación de las partes interesadas (artículos 35(2) y 35(9) del RGPD)

Cada uno de ellos se analiza con más detalle en las subsecciones siguientes.

¿Puedo seguir el enfoque estándar de la ISO?

ISO ha publicado la norma internacional ISO/IEC 29134:2017 ”
Tecnología de la información – Técnicas de seguridad – Directrices para la evaluación del impacto sobre la privacidad. “Como es habitual en las normas ISO, el texto de la norma no está disponible públicamente, sino solo para los clientes de pago. Las normas ISO son de carácter global y, por tanto, atienden a diversos conceptos de “privacidad”. Es poco probable que la norma adopte un punto de vista jurídico e imposible que una sola norma satisfaga los requisitos legales necesariamente diferentes de las distintas legislaciones. En caso de que el enfoque de la ISO sea adecuado para un determinado responsable del tratamiento, se aconseja, por tanto, que además se consulten paralelamente las orientaciones jurídicas específicas del RGPD.

De relevancia general para todas estas subsecciones es la segunda frase del considerando 90 del RGPD. Se presenta aquí con el resaltado y la estructura (viñetas) añadidos por los autores:

“Esa evaluación de impacto debe incluir, en particular, las medidas, salvaguardias y mecanismos previstos para:

  • mitigar ese riesgo,
  • garantizar la protección de los datos personales y
  • demostrando el cumplimiento del presente Reglamento”.

En otras palabras:

  • La EIPD se centra en las medidas, las salvaguardias y el mecanismo.
  • Se aplican a:
    • riesgos,
    • la protección de los datos personales, es decir, el cumplimiento del RGPD, y
    • demostración de cumplimiento.

Es importante señalar que la EIPD no sólo se centra en la identificación, evaluación y mitigación de los riesgos, sino también en el cumplimiento y la demostración del mismo. Esto último es especialmente evidente en la letra (b) del apartado 7 del artículo 35 y en la subsección correspondiente “2. Evaluación de la necesidad y la proporcionalidad” que se describe a continuación.

Descripción sistemática del tratamiento

Al detallar el artículo 35(7)(a) del RGPD, el Grupo de Trabajo desglosa la descripción del tratamiento en los siguientes elementos[10]:

  • Naturaleza, alcance, contexto y fines del tratamiento (considerando 90 del RGPD);
  • datos personales, destinatarios y periodo de almacenamiento;
  • descripción funcional de la operación de tratamiento;
  • los medios técnicos y humanos empleados en el tratamiento
    (hardware, software, redes, personas, papel o canales de transmisión en papel);
  • el cumplimiento de los códigos de conducta aprobados (artículo 35, apartado 8, del RGPD).

Es importante tener en cuenta, en relación con el primer punto, que el artículo 35, apartado 7, letra a), dice: “fines del tratamiento, incluido, en su caso, el interés legítimo perseguido por el responsable del tratamiento“.

Aunque la mayoría de los conceptos enumerados aquí se entienden bien, el significado exacto de (i) naturaleza, (ii) alcance y (iii) contexto puede ser más difícil de entender. Dado que no existe una interpretación autorizada de estos términos, a continuación, se ofrece una posible interpretación con la esperanza de que resulte útil.

(i) Naturaleza: Pueden existir múltiples aspectos relacionados con la naturaleza del tratamiento, entre ellos los siguientes:

  • El paradigma del procesamiento;
  • el paradigma de las infraestructuras;
  • nivel de automatización;
  • forma de “efecto”;
  • el nivel de innovación.

Los paradigmas de procesamiento pueden ir desde el imperativo (es decir, las aplicaciones “tradicionales”), pasando por el basado en reglas/declarativo (por ejemplo, los sistemas expertos), hasta la inteligencia artificial basada en el aprendizaje automático.

El paradigma de la infraestructura puede ir desde una aplicación de escritorio, pasando por una aplicación cliente-servidor, hasta una solución basada en la nube, todas ellas con diferentes niveles de distribución.

El nivel de automatización puede ir desde el apoyo a los agentes humanos hasta el funcionamiento totalmente automático sin posibilidad de intervención humana.

La forma de “efecto” describe el “resultado” del tratamiento. Puede ir desde la pura información (en los sistemas de información), pasando por la creación de un estatus (por ejemplo, el derecho a voto) que determina las posibles acciones de una persona, hasta la gestión de los activos virtuales de una persona (por ejemplo, una cuenta bancaria), o los sistemas ciberfísicos que afectan directamente al mundo físico en el que vive la persona o a la propia persona.

El nivel de innovación puede ir desde mantenerse dentro del realismo, donde los riesgos y su mitigación se conocen bien, hasta desplegar nuevas tecnologías y métodos cuyas consecuencias aún no se han descubierto y que pueden venir con efectos secundarios y riesgos aún desconocidos.

(ii) Alcance: Lo que está dentro y fuera del ámbito de la actividad de tratamiento determina su impacto. En la protección de datos, el ámbito de aplicación debe considerarse en relación con las personas afectadas. Esto abarca múltiples aspectos, entre ellos los siguientes:

  • ¿Cuáles y cuántas son las personas afectadas?
  • ¿Qué aspectos de la vida de estas personas se ven afectados?
    • ¿Durante qué tiempo y con qué frecuencia se captan estos aspectos?
    • ¿Con qué precisión se captan estos aspectos?

Cuáles y cuántas personas se ven afectadas determinan evidentemente el impacto de la actividad de tratamiento. El tipo de personas afectadas es interesante para saber si algunas de ellas son vulnerables y requieren un tipo de protección especial. Además del número absoluto de personas, las cifras relativas corresponden a zonas geográficas o grupos de usuarios.

Los aspectos de la vida afectados están estrechamente relacionados con las categorías de datos implicadas. Evidentemente, los diferentes aspectos de la vida conllevan diferentes niveles de sensibilidad y, por tanto, de riesgo. En el RGPD, las categorías especiales de datos (artículo 9) junto con los datos sobre condenas penales (artículo 10) se identifican como especialmente sensibles. El impacto del tratamiento de datos no sólo depende de los tipos de aspectos que se encuentran en el ámbito del tratamiento, sino también de qué gama de aspectos de una persona se abordan. Un aspecto aislado suele tener un impacto mucho menor que el tratamiento de un perfil que proporciona una imagen completa de la vida de una persona.

El ámbito temporal, sobre todo la duración en la que se capturan estos aspectos, también determina el impacto. Esto está estrechamente relacionado con los periodos de almacenamiento y el borrado de los datos. Cuando un determinado tipo de datos se recoge más de una vez, la frecuencia también es importante. Esto es más evidente cuando se consideran los datos de localización, donde un seguimiento una vez cada pocos días es muy diferente de un seguimiento cada pocos minutos.

La precisión con la que se captan los aspectos de la vida de una persona también determina el impacto de la actividad de tratamiento. Esto es evidente, por ejemplo, cuando se analiza la ubicación, ya que saber el país en el que se encuentra una persona tiene un impacto mucho menor que conocer las coordenadas precisas. Del mismo modo, saber que una persona no tiene edad tiene un impacto mucho menor que conocer la fecha de nacimiento.

(iii) Contexto: Entender una actividad de tratamiento y sus riesgos es a menudo imposible sin conocer su contexto. Diferentes aspectos del contexto pueden ser, entre otros:

  • Legal;
  • Técnica
  • Económico;
  • Social.

Parte del contexto legal es la base legal para el tratamiento según el artículo 6 del RGPD y posiblemente el artículo 9 del RGPD. También son relevantes aquí las posibles certificaciones según el artículo 42 del RGPD, los códigos de conducta aprobados según el artículo 40 del RGPD (véase el artículo 35, apartado 8) y las normas corporativas vinculantes según el artículo 47 del RGPD. El contexto jurídico también puede incluir los dictámenes autorizados del Comité Europeo de Protección de Datos, de conformidad con el artículo 64 del RGPD, o las decisiones judiciales que sean pertinentes para la evaluación del impacto. Obsérvese que el Grupo de Trabajo ha incluido los códigos de conducta en un elemento separado, probablemente porque así lo exige explícitamente el artículo 35, apartado 8, del RGPD.

Hay dos aspectos que contribuyen al contexto técnico:

  • Otras actividades de tratamiento realizadas por el mismo o por diferentes responsables que interactúan con la actividad de tratamiento, y
  • El estado de la tecnología para defender y atacar.

En algunos casos, es imposible evaluar una actividad de procesamiento de forma aislada. Este es el caso típico de los sistemas distribuidos en los que diferentes controladores operan diferentes componentes. Un buen ejemplo es la gestión de identidades federadas, en la que un proveedor de identidades maneja un componente que sólo puede entenderse si se tienen en cuenta también los usuarios y, por tanto, las partes confiantes. Aquí, y en muchos casos, la privacidad suele estar determinada por los protocolos de comunicación utilizados entre los componentes y, por tanto, por las actividades de procesamiento. Esto se ilustra con la existencia de protocolos[11] específicamente diseñados para mejorar la privacidad. Si se evaluara el impacto sin tener en cuenta el contexto, estos protocolos especialmente relevantes caerían en las lagunas de los controladores y, por tanto, de las EIPD.

Es evidente que hay que tener en cuenta el estado de la técnica para comprender el impacto del tratamiento. En consecuencia, el RGPD obliga a tener en cuenta el estado de la técnica tanto en el artículo 32, relativo a la seguridad del tratamiento, como en el artículo 25, relativo a la protección de datos desde el punto de vista del diseño y por defecto (véase “Protección de datos desde el punto de vista del diseño y por defecto” en la parte II de estas directrices, sección “Conceptos principales”). En materia de seguridad (que es uno de los aspectos de la protección de datos), para comprender los riesgos es fundamental entender el panorama actual de las amenazas, que describe la facilidad de los ataques y la disponibilidad y eficacia de las medidas defensivas. Para minimizar el impacto del tratamiento sobre los interesados de acuerdo con la protección de datos por diseño, es crucial conocer las posibilidades técnicas disponibles.

El contexto social describe la influencia que las personas y organizaciones pueden tener en las actividades de tratamiento. Esto incluye la cuestión de quién podría estar interesado en utilizar los datos procesados para otros fines. Esto incluye aspectos sobre la motivación y los recursos de los [12]posibles actores para hacerlo. Es importante señalar que el contexto no se limita a los agentes externos, sino que también incluye al personal interno que podría tener motivos para utilizar los datos con otros fines.

Evaluación de la necesidad y la proporcionalidad

Al detallar el artículo 35, apartado 7, letra b) del RGPD, el Grupo de Trabajo desglosa la evaluación de la necesidad y la proporcionalidad en varios subpuntos en dos grandes grupos[13]. Es importante señalar que todos estos puntos se refieren a las medidas previstas para cumplir con el RGPD.[14] Para facilitar la comprensión, estos puntos se clasifican aquí como sigue:

Puntos relacionados con:

  1. Obligaciones genéricas del capítulo 2 “Principios” del RGPD (véase “Principios principales” en la parte II de estas directrices)
  2. Obligaciones específicas del capítulo 3 del RGPD “Derechos del interesado” (véase “Derechos del interesado” en la parte II de estas directrices)
  3. Obligaciones específicas del capítulo 4 del RGPD “Responsable y encargado del tratamiento
  4. Obligaciones específicas del capítulo 5 del RGPD “Transferencias de datos personales a terceros países u organizaciones internacionales” (véase “Transferencias de datos a terceros países” en la sección de la Parte II “Principales herramientas y acciones”)

A continuación, se describen con más detalle:

1. Principios:

Los puntos proporcionados por el Grupo de Trabajo del Artículo 29 en esta sección se corresponden estrechamente con los principios genéricos (a) a (f) de la protección de datos previstos en el artículo 5(1) del RGPD, con las siguientes diferencias:

  • En cambio, se utiliza el artículo 6, más concreto, para cubrir la legalidad, en lugar del propio artículo 5(1)(a).
  • Se omite la letra d) del apartado 1 del artículo 5, relativa a la “exactitud”, probablemente porque el derecho de rectificación del interesado cubre los mismos aspectos de manera más concreta.
  • Se omite la letra f) del apartado 1 del artículo 5, relativa a la seguridad (“integridad y confidencialidad”), probablemente porque se trata más adelante en la “gestión de los riesgos para los derechos y libertades de los interesados”

La EIPD se exige ahora para cada principio (véase “Principios principales” en la Parte II de estas Directrices), qué medidas se han tomado para cumplirlo. A continuación, se ofrece una selección incompleta de ejemplos de dichas medidas:

Las medidas para demostrar el cumplimiento de la “limitación de los fines” descrita en el artículo 5 (1) (b) consisten en especificar los fines explícitos del tratamiento. Esta descripción debe ser precisa y concreta. Para demostrar el cumplimiento, debe justificarse por qué estos fines son legítimos y que el impacto sobre los interesados se ha minimizado manteniendo los fines tan limitados como sea necesario.

Otro aspecto importante del artículo 5, apartado 1, letra b), es que los datos “no serán tratados posteriormente de manera incompatible con dichos fines”. Dado que la divulgación se considera tratamiento (véase el artículo 4 (2) del RGPD), esto significa que los datos personales sólo se divulgarán a las personas y partes que sean necesarias y estén justificadas por los fines establecidos. Las medidas que demuestran el cumplimiento de este requisito incluyen la documentación de quién (empleados del responsable del tratamiento y terceros destinatarios) necesita acceder a los datos y al tratamiento y cómo se gestionan y actualizan en la práctica los derechos de acceso. Esto complementa las medidas para mitigar las amenazas de acceso ilegítimo que forman parte de la sección “gestión de riesgos” que se describe más adelante.

Las medidas para garantizar la legalidad del tratamiento consisten en la documentación de la base jurídica elegida, de acuerdo con los artículos 6 (1) y posiblemente 9 (2) del RGPD.

Cuando se utilice el artículo 6, apartado 1, letra a), consentimiento” como base jurídica, la documentación deberá incluir la forma en que se recogió este consentimiento (por ejemplo, un formulario o un diálogo) junto con una justificación de cómo se cumplen los requisitos de consentimiento establecidos en los artículos 7 y 8 del RGPD. En el caso de que se opte por el “consentimiento explícito” del artículo 9, apartado 2, letra a), debe añadirse una justificación de cómo se cumplen los requisitos de esta forma especial de consentimiento. El mejor apoyo para esto lo proporciona el Grupo de Trabajo del Artículo 29 en sus “Directrices sobre el Consentimiento”[15].

Cuando se opta por el artículo 6, apartado 1, letra f), intereses legítimos perseguidos por el responsable del tratamiento o por un tercero”, es muy importante tener en cuenta que su base jurídica establece “salvo que sobre dichos intereses prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño”. Para asegurarse de que los intereses del interesado no prevalecen sobre el interés legítimo del responsable del tratamiento, se requiere una “prueba de equilibrio” adicional (véase “Interés legítimo y prueba de equilibrio” en la parte II, sección “Principales herramientas y acciones”). El Grupo de Trabajo del Artículo 29 describió en su Dictamen WP217[16] en qué consiste dicha prueba de sopesamiento y cómo llevarla a cabo.

Las medidas para demostrar el cumplimiento de la letra c) del apartado 1 del artículo 5 “minimización de datos” son justificaciones de que los datos personales recogidos y tratados son adecuados, pertinentes y se limitan a lo necesario para alcanzar los fines establecidos (véase “Minimización de datos” en la sección “Principios” de la Parte II de estas Directrices).

Las medidas para demostrar el cumplimiento del artículo 5(1)(e) “limitación del almacenamiento” (véase “Limitación del almacenamiento” en la Parte II, sección “Principios”) consisten en la documentación que justifica que los datos se almacenan sólo el tiempo necesario para los fines (y luego se borran) y que la seudonimización y la anonimización que reducen/eliminan la identificabilidad de los sujetos de los datos se aplica lo antes posible para los fines (véase “Identificación”, “Seudonimización” y “Anonimización” en la Parte II de estas Directrices, sección “Conceptos principales”).

Aunque el Grupo de Trabajo no la incluyó explícitamente entre sus puntos, una medida adicional deseable sería la documentación de las personas y los destinatarios a los que se revelan legítimamente los datos.

2. Derechos del interesado: (véase la sección “Derechos del interesado” dentro de la Parte II)

Los puntos proporcionados por el Grupo de Trabajo del Artículo 29 en esta sección abarcan casi todo el conjunto de artículos del Capítulo 3 “Derechos del interesado”. Esto incluye los artículos 12 a 14 del RGPD, que se refieren principalmente a la transparencia, así como los artículos 15 a 21, que se refieren a los derechos específicos del interesado.

Las medidas para demostrar el cumplimiento de las obligaciones relativas al capítulo 3 consisten en una documentación de la información que se proporciona a los interesados y de los medios técnicos u organizativos de que disponen los interesados para ejercer estos derechos.

Sorprendentemente, el Grupo de Trabajo no incluyó el artículo 22 del RGPD entre sus puntos, aunque la “toma de decisiones individuales automatizadas, incluida la elaboración de perfiles” conlleva obviamente grandes riesgos para los interesados. Por lo tanto, se recomienda abordar el cumplimiento de este artículo de todos modos, si procede. Una medida adecuada podría ser documentar cómo el interesado puede acceder al “derecho a obtener intervención humana” que se menciona en el artículo 22, apartado 3.

3. Obligaciones del responsable y del encargado del tratamiento:

Los puntos proporcionados por el Grupo de Trabajo del Artículo 29 en esta sección consisten únicamente en dos artículos del capítulo 4 del RGPD “Responsable y encargado del tratamiento“, a saber, los artículos 28 y 36.

El artículo 28 se refiere a los transformadores. Las medidas que demuestran el cumplimiento de este artículo son, por ejemplo[17], las siguientes:

  • Documentación de las garantías ofrecidas por el encargado del tratamiento “para aplicar las medidas técnicas y organizativas apropiadas de forma que el tratamiento cumpla los requisitos del presente Reglamento” (artículo 28.1 del RGPD).
  • Medidas (como cláusulas contractuales) que garanticen que “el encargado del tratamiento [no] contrate a otro encargado sin autorización previa, específica o general, por escrito, del responsable del tratamiento” (artículo 28, apartado 2, del RGPD).
  • Documentación de un “contrato u otro acto jurídico” que rija el tratamiento por parte de los encargados del mismo. Esto incluye las cláusulas que garantizan los requisitos establecidos en las letras a) a h) del apartado 3 del artículo 28.

El artículo 36 se refiere a la “consulta previa” a la autoridad de supervisión competente si el riesgo residual después de aplicar las medidas de mitigación adecuadas sigue siendo elevado. La medida para demostrar el cumplimiento de este artículo es documentar dicha consulta y su resultado.

Más allá de los dos artículos del capítulo 3 del RGPD que fueron enumerados explícitamente entre los puntos por el Grupo de Trabajo, hay medidas adicionales que son posibles y deseables. Algunos ejemplos son los siguientes:

  • Las medidas para demostrar el cumplimiento del artículo 25 “protección de datos desde el diseño y por defecto” pueden incluir la documentación de cómo se integró la protección de datos ya en la concepción y el diseño de la actividad de tratamiento. Esto puede consistir, por ejemplo, en los requisitos de protección de datos que se establecieron para un desarrollo o una licitación a medida, o en un análisis del cumplimiento de la protección de datos durante un proceso de selección (véase “Protección de datos desde el diseño y por defecto” en la sección “Conceptos principales” de la Parte II de estas Directrices).
  • Las medidas para demostrar el cumplimiento de los artículos 33 y 34 sobre la notificación y la comunicación de las violaciones de datos podrían consistir en la documentación de los procedimientos internos para gestionar estas situaciones.

4. Transferencias de datos personales a terceros países u organizaciones internacionales:

En esta sección, el Grupo de Trabajo del Artículo 29 proporciona un único punto que hace referencia a todo el capítulo 5 del RGPD. Las medidas para demostrar el cumplimiento en esta sección documentan las salvaguardias existentes que protegen a los interesados en caso de que sus datos se transfieran a zonas en las que el RGPD no es directamente aplicable. Entre las medidas concretas están la documentación de que existe una decisión de adecuación de la Comisión (artículo 45 del RGPD), la adhesión a normas corporativas jurídicamente vinculantes (artículo 47 del RGPD), o el uso de otro instrumento jurídicamente vinculante y aplicable (artículo 46 del RGPD) (véase “Transferencias de datos a terceros países” en la parte II, sección “Principales herramientas y acciones” de estas directrices).

Gestión de los riesgos para los derechos y libertades de los interesados

El artículo 35, apartado 7, letra c), exige la “evaluación de los riesgos para los derechos y libertades de los interesados”. El considerando 84 establece además que el responsable del tratamiento que realice una EIPD debe “evaluar, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo”. Sobre esta base, el Grupo de Trabajo del Artículo 29 subraya que dicha evaluación debe realizarse desde la perspectiva del interesado y ofrece el siguiente enfoque:

  • Una lista de riesgos que deben ser evaluados y
  • una serie de pasos que constituyen dicha evaluación

Por lo tanto, una EIPD debe abordar estos pasos para cada uno de los riesgos.

El grupo de trabajo enumera los siguientes riesgos:

  1. acceso ilegítimo [a los datos personales],
  2. modificación no deseada [de los datos personales], y
  3. desaparición de datos.

Evidentemente, estos riesgos parafrasean la redacción del artículo 5.1.f) sobre el principio de “integridad y confidencialidad”. También es coherente con “la confidencialidad, la integridad, la disponibilidad y la capacidad de recuperación de los sistemas y servicios de tratamiento” que se enuncia en el artículo 32, apartado 1, letra b) del RGPD. También es posible ver una equivalencia directa con los objetivos de protección utilizados en la seguridad informática, a saber, la confidencialidad, la integridad y la disponibilidad.

Para la evaluación de cada riesgo, el Grupo de Trabajo establece los siguientes componentes:

  1. identificación de las fuentes de riesgo (de acuerdo con el considerando 90)
  2. identificar los impactos potenciales de cada riesgo para los derechos y libertades de las personas físicas
  3. identificar las amenazas que podrían provocar estos riesgos
  4. estimar la probabilidad y la gravedad de los riesgos (de acuerdo con el considerando 90).

Sobre esta base, y teniendo en cuenta la probabilidad y la gravedad estimadas de cada riesgo, deben concebirse, aplicarse y documentarse en la EIPD las medidas de mitigación apropiadas (según lo dispuesto en la letra d) del apartado 7 del artículo 35 y en el considerando 90).

Dado que los principios de “integridad y confidencialidad” (véase “Integridad y confidencialidad” en la sección “Principios” de la Parte II de estas Directrices). así como las amenazas enumeradas son típicas de la seguridad informática, las medidas aquí documentadas son bien conocidas de esa disciplina. La principal diferencia con la seguridad es la estimación de la gravedad o los impactos que se evalúan en relación con las personas afectadas mucho más que con la organización responsable del tratamiento. El hecho de que sólo esta sección se refiera a la seguridad informática ilustra aún más la diferencia que ya se ha tratado anteriormente.

Participación de las partes interesadas

Según el apartado 2 del artículo 35, “el responsable del tratamiento solicitará el asesoramiento del delegado de protección de datos, cuando sea designado, al realizar una evaluación de impacto sobre la protección de datos”.

Asimismo, según el apartado 9 del artículo 35, “cuando proceda, el responsable del tratamiento recabará la opinión de los interesados o de sus representantes sobre el tratamiento previsto, sin perjuicio de la protección de los intereses comerciales o públicos o de la seguridad de las operaciones de tratamiento.”

Esta sección de la EIPD documenta que el responsable del tratamiento ha cumplido efectivamente estos dos requisitos. Cuando se hayan recabado las opiniones de los interesados o de sus representantes, la documentación deberá justificar por qué dichas opiniones deben considerarse razonablemente representativas de los interesados en cuestión. Cuando no se hayan recabado las opiniones, la documentación deberá aclarar por qué no fue útil o posible hacerlo.

 

 

  1. wp248rev.01, GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29, Directrices sobre la evaluación de impacto de la protección de datos (EIPD) y la determinación de si el tratamiento es “susceptible de provocar un alto riesgo” a los efectos del Reglamento 2016/679, Adoptado el 4 de abril de 2017, Según la última revisión y adopción del 4 de octubre de 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (última visita el 14/01/2020).
  2. Aprobación de las directrices del WP29 del RGPD por parte del Comité Europeo de Protección de Datos (CEPD), https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en, Bruselas, 25 de mayo de 2018, punto 6.
  3. https://edpb.europa.eu/
  4. wp248rev.01, página 17, Sección III.D.c), 4º párrafo, resaltado por los autores.
  5. Anexo I de wp248rev.01, página 21.
  6. wp248rev.01, página 17, Sección III.D.c), 6º párrafo, resaltado por los autores.
  7. wp248rev.01, página 17, Sección III.D.c), 6º párrafo, resaltado por los autores.
  8. wp248rev.01, página 22, anexo II, primer párrafo.
  9. Los criterios se proporcionan en una redacción es la del criterio de evaluación. En este documento, la redacción se cambia por títulos que reflejan la estructura. Por ejemplo, “se proporciona una descripción sistemática del tratamiento” se cambia por “descripción sistemática del tratamiento”. Asimismo, la única entrada de nivel superior correspondiente a las letras c) y d) del apartado 7 del artículo 35 se divide en dos entradas separadas.
  10. Adaptado de wp248rev.01, página 22, Anexo II.
  11. Esto se ilustra con la técnica criptográfica de la intersección de conjuntos p+privados (véase https://en.wikipedia.org/wiki/Private_set_intersection).
  12. Los recursos incluyen aquí la capacidad técnica y la capacidad económica, así como la disponibilidad de información adicional accesible para un jugador.
  13. Adaptado de wp248rev.01, página 22, Anexo II.
  14. Véase wp248rev.01, página 22, anexo 2, 1st punto bajo “se evalúan la necesidad y la proporcionalidad”.
  15. wp259rev.01, GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29, Directrices sobre el consentimiento en virtud del Reglamento 2016/679, adoptadas el 28 de noviembre de 2017, revisadas y adoptadas por última vez el 10 de abril de 2018, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (última visita el 29/01/2020)
  16. wp217, PARTIDO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29, Dictamen 06/2014 sobre la noción de intereses legítimos del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE, Adoptado el 9 de abril de 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (última visita el 29/01/2020). Obsérvese que, si bien este dictamen se refiere en gran medida a la Directiva de protección de datos y no al RGPD, los conceptos y métodos deberían aplicarse igualmente.
  17. La lista de ejemplos no pretende ser exhaustiva.

 

Ir al contenido