La evaluación de impacto en el tratamiento de datos personales
La evaluación de impacto (EIPD) se erige como un mecanismo fundamental para que el tratamiento de datos personales sea lo más seguro posible. Toda organización se enfrenta en el desarrollo de su actividad, a multitud de riesgos e incertidumbres que se han de gestionar debidamente para que la materialización de estos no suponga un perjuicio.
El propio Reglamento General de Protección de Datos (RGPD) hace numerosas referencias al riesgo, pero la más importante es la mención del artículo 24.1 que establece que, en función de la naturaleza, contexto, fines del tratamiento y los diversos riesgos para los derechos y libertades de los interesados, el responsable del tratamiento debe acordar las medidas técnicas y organizativas para poder demostrar que cumple con el RGPD y por ende, con el principio de responsabilidad proactiva.
Es precisamente en este punto donde adquiere importancia el concepto de evaluación de impacto ya que, si bien el RGPD no impone la manera concreta de gestionar el riesgo, dejando libertad al responsable para que decida las medidas que mejor convengan, sí que hace alusión a una serie de requisitos que se deben de tener en cuenta a la hora de realizar tratamientos de alto riesgo, y es la ineludible obligación de efectuar una evaluación de impacto. Ahora bien, ¿a qué nos referimos cuando hablamos de evaluación de impacto?
¿Qué es una evaluación de impacto?
El RGPD no define exactamente qué es, sin embargo, el Comité Europeo de Protección de Datos (CEPD), sí lo hace en la Directriz WP248, definiéndolo como
“un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad, que ayuda a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, determinando las medidas para abordarlos”.
La principal regulación sobre la evaluación de impacto la encontramos en los artículos 35 y 36 del RGPD, estableciendo el artículo 35, que la misma ha de llevarse a cabo en aquellos tratamientos que supongan un alto riesgo para los derechos y libertades de las personas. En este punto, el Grupo de Trabajo del Artículo 29, establece que la referencia a estos derechos engloba principalmente el derecho fundamental a la protección de datos y a la intimidad, pero también implica la salvaguarda de otros, como la libertad de expresión, de pensamiento, de circulación, libertad de conciencia y religión, etcétera. Es por ello, que no siempre resulta obligatorio realizar una evaluación de impacto en todas las operaciones de tratamiento, sino que sólo se requiere cuando sea probable que el tratamiento que se quiere realizar implique una afectación a los derechos que se acaban de enunciar.
Ya hemos visto de manera general qué es la evaluación de impacto y cuándo es obligatorio realizarla, ahora, vamos a detallar qué tipos de tratamiento la requieren.
Tratamientos de datos sujetos a la evaluación de impacto
Como ya hemos comentado, el análisis de los tratamientos de datos personales sólo se ha de efectuar cuando estos entrañen un alto riesgo para los derechos y libertades de los interesados, bien por el uso de nuevas tecnologías, por su naturaleza o alcance, por el contexto o fines, etcétera.
En primer lugar, estas características son cumplidas por los supuestos contemplados en el art. 35.3 del RGPD, no obstante, hay otras situaciones donde es obligatoria la realización de la evaluación de impacto, como cuando lo exige una norma especial. Cuando en alguna de las directrices del Comité Europeo de Protección de Datos, un tratamiento esté identificado de alto riesgo o, cuando el tratamiento se encuentre sujeto a un código de conducta o a un mecanismo de certificación que exijan al responsable llevar a cabo la evaluación.
Así mismo, el art. 35.4 RGPD establece la obligación de que la autoridad de control competente elabore y publique unas listas de los tipos de tratamiento que se pueden considerar de alto riesgo. Estas listas no son cerradas y sirven de orientación para los responsables, ya que, el hecho de que un tratamiento que se quiera realizar cumpla con dos o más criterios de la lista, significa que habrá que realizar la evaluación de impacto necesariamente, salvo que se trate de una excepción del art. 35.5 RGPD.
Estas listas tienen que contemplar las condiciones para realizar una EIPD enumeradas en las Directrices WP248 y, a modo de ejemplo, algunos de los tratamientos incluidos en la lista elaborada por la autoridad de control española (Agencia Española de Protección de Datos) son, entre otros: tratamientos que impliquen la geolocalización del interesado, uso de datos biométricos, uso de datos genéticos, uso de datos a gran escala, tratamiento de datos de menores de 14 años y de víctimas de violencia de género, etc. Por su parte, la Oficina del Comisario de Información (ICO), recomienda a las organizaciones plantear una serie de preguntas que les ayudarán a decidir cuándo es necesaria una EIPD, de tal forma que, una respuesta afirmativa será un claro indicador de que es obligatorio realizar esta evaluación.
Algunas de las preguntas, serían: ¿Implica el proyecto recopilación de nueva información sobre el individuo? ¿Obliga el proyecto a recopilar información personal de los interesados? ¿Se divulgará información a organizaciones que previamente no han tenido acceso a ella? ¿Es la información recopilada especialmente sensible?
Para entender mejor en la práctica los beneficios de realizar el análisis de riesgos, la Comisión Nacional de Computación y Libertades (CNIL) pone de ejemplo un supuesto de hecho en el que una nueva aplicación lanzada al mercado, recopila los datos de los usuarios, permitiendo acceder a la geolocalización de estos y, posteriormente los servidores son hackeados por una organización criminal que averiguan con estos datos donde vive cada usuario y en qué momento las casas están libres para poder robar. Este problema no hubiera sucedido si se hubiera realizado una evaluación de impacto antes de lanzar la aplicación al mercado, pues se hubieran analizado los posibles riesgos, su gravedad y las medidas de apoyo para evitar estas situaciones tan problemáticas.
Hemos visto casos donde es obligatorio realizar una evaluación de impacto, pero ¿Cuándo no se requiere esta evaluación?
Según el GTA29, hay varios supuestos donde no es necesario llevar a cabo esta evaluación, como, por ejemplo:
- Cuando no haya un riesgo aparente para los derechos y libertades de los interesados:
- Cuando se vaya a realizar un tratamiento de naturaleza y fines similares a otro tratamiento para el que ya se ha realizado una evaluación de impacto.
- Cuando el tratamiento no se incluya en la lista establecida por la autoridad de control por ser una excepción, según el artículo 35.5 RGPD.
- Cuando la operación de tratamiento, según el art. 35.10, tenga una base jurídica en el Derecho de la Unión o en el derecho del Estado Miembro para la que ya se haya realizado una evaluación de impacto sobre la adopción de esa base jurídica.
- Cuando las actividades de tratamiento hayan sido comprobadas por la autoridad de control antes de mayo de 2018.
En cualquier caso, hay que advertir de que la evaluación de impacto no es un proceso estático que se realice una única vez sobre un mismo tratamiento, sino que se deben revisar y monitorizar periódicamente debido a que los escenarios de riesgo están en constante cambio y puede ser que sea necesario implementar nuevas medidas a tratamientos ya analizados con anterioridad.
Recomendaciones para realizar una evaluación de impacto
No hay una metodología específica y pautada sobre cómo realizar la evaluación de impacto, pero, realizarla de manera incorrecta o incompleta puede acarrear cuantiosas sanciones económicas, por lo que habrá que atender al contenido del artículo 35.7 y Considerando 84 y 90 del RGPD, que especifican el contenido mínimo de toda evaluación. Así mismo, es de gran ayuda recurrir de nuevo a las Directrices WP248 que establecen los criterios para que la EIPD sea aceptable, siempre teniendo en cuenta la regulación mencionada anteriormente.
Criterios de evaluación
En primer lugar, hay que realizar una descripción detallada del tratamiento, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento; registro de datos personales, destinatarios y período de conservación; descripción funcional de la operación de tratamiento; identificación de los medios que contienen esos datos y cumplimiento de los códigos de conducta aprobados.
A continuación, hay que evaluar la necesidad y la proporcionalidad del tratamiento, teniendo en cuenta, entre otras cosas: la legalidad del tratamiento, los fines determinados, las medidas que contribuyen a que los interesados puedan ejercitar sus derechos, las garantías de las transferencias internacionales (si las hubiere) o la consulta previa prevista en el art. 36 RGPD.
El siguiente paso sería focalizar la atención en los riesgos para los derechos y libertades de los interesados y su gestión; teniendo en cuenta la naturaleza de los riesgos y el impacto de estos sobre los derechos y libertades; se estima la probabilidad y gravedad y se determinan las medidas previstas para tratarlos. Según la ICO, hay varias medidas que las organizaciones pueden adoptar para reducir el riesgo y que los tratamientos sean más seguros, como son: decidir no almacenar ciertos tipos de información, establecer períodos de conservación que sólo mantengan la información durante el tiempo necesario y después planificar una destrucción segura, garantizar que el personal esté debidamente formado y sea consciente de los riesgos, desarrollar formas de anonimizar la información de forma segura, simplificar la respuesta a las solicitudes de acceso de los interesados, aplicar medidas de seguridad tecnológicas adecuadas, etcétera.
Por último, se debe dar participación a las partes interesadas, recabando el asesoramiento del Delegado de Protección de Datos si lo hubiera y, las opiniones de los interesados o sus representantes.
Tras realizar la evaluación de impacto, que es en realidad, una auténtica evaluación de riesgos, el responsable debe tomar las medidas y controles necesarios para poder mitigar los riesgos detectados en la evaluación y conseguir un nivel de riesgo residual aceptable y tolerable. No obstante, si esto no es posible, habrá que recurrir a la consulta previa del art. 36 RPGD, y comunicar a la autoridad de control la situación de alto riesgo que conlleva el tratamiento incluso después de haber realizado la evaluación de impacto, para que ésta decida, en un plazo de 8 semanas, lo que estime conveniente, pudiendo incluso imponer limitaciones al tratamiento, incluida su prohibición.
Como hemos podido comprobar, la evaluación de impacto es un proceso que todo responsable debería tener en cuenta cuando trate datos más sensibles, puesto que, el resultado del análisis va a proporcionar información relevante sobre qué riesgos hay que mitigar o eliminar antes de efectuar el tratamiento en concreto, de tal manera que, la probabilidad de ser sancionado se reduce en gran medida, al haber cumplido con el principio de responsabilidad proactiva y haber sido diligente con la protección de los datos personales de los interesados.
Si estás interesado en la protección de datos sigue leyendo algunos de nuestros artículos relacionados.
No Comments