LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 18:02:28

LegalToday

Por y para profesionales del Derecho

Blog Compliance – RIBAS Y ASOCIADOS

Las Evaluaciones de Impacto en el Reglamento Europeo de Protección de Datos

abogado en áreas de Compliance, Derecho de las TIC y Protección de Datos en Ribas&Asociados

El Reglamento Europeo de Protección de Datos propone una regulación más dinámica para las organizaciones, que no estarán tan encorsetadas a la hora de gestionar la protección de datos, pero deberán ser capaces de demostrar en todo momento la conformidad del tratamiento con el Reglamento.

Protección de datos

No solo se persigue el cumplimiento normativo, sino la efectividad y el seguimiento continuado en la protección de datos. Una de las novedades planteadas por el Reglamento en esta línea es la obligación de llevar a cabo evaluaciones de impacto de protección de datos. En el informe A Privacy Impact Assessment Framework For Data Protection and Privacy Rights, presentado ante la Comisión Europea en 2011, se definía la evaluación de impacto como "una metodología para evaluar el impacto sobre la privacidad de un proyecto, política, programa, servicio, producto u otra iniciativa que implique el tratamiento de datos personales y, tras haber consultado a todas las partes implicadas, adoptar las acciones necesarias tendentes a evitar o minimizar impactos negativos1". Cabe señalar que las evaluaciones de impacto se encuentran fuertemente ligadas al principio de privacidad en el diseño, puesto que contribuyen a que la protección de datos se tenga en cuenta en la fase inicial del desarrollo de un producto o servicio.

Aunque se trata de una figura novedosa en nuestro país, la evaluación de impacto lleva años implantada en el mundo anglosajón. A modo de ejemplo, en Estados Unidos resulta obligatoria para determinados tratamientos efectuados por agencias gubernamentales desde la E-Govermment Act de 2002. En Canadá, a nivel federal, existe obligación de efectuar evaluaciones de impacto para los entes públicos bajo la Directive on Privacy Impact Assesment. En otros casos, como el de Australia, pese a no tratarse de una obligación legal, las evaluaciones de impacto son promovidas por las agencias de protección de datos tanto para entes públicos como para organizaciones privadas.

La evaluación de impacto es una herramienta dirigida a la protección de la privacidad de los ciudadanos, no obstante, también es un ejercicio que puede resultar útil a las organizaciones para evitar los costes de transformación tecnológica necesarios para adaptarse a la legalidad una vez iniciada la actividad, así como el daño reputacional que puede sufrir una organización con ocasión de una brecha de seguridad.

Independientemente de la conveniencia de llevar a cabo una evaluación de impacto para cualquier tratamiento, el Reglamento indica una serie de supuestos en los que la evaluación de impacto será obligatoria, en concreto:

  • Cuando la empresa quiera realizar evaluaciones sistemáticas y exhaustivas de aspectos personales de personas físicas basados en un tratamiento automatizado (Ej. elaboración de perfiles) y que, sobre la misma, se tomen decisiones que produzcan efectos jurídicos para las personas o que les pueda afectar de modo similar.
  • Cuando se lleven a cabo tratamientos a gran escala de las categorías especiales de datos o a datos personales relativos a condenas e infracciones penales.
  • Cuando se realicen observaciones sistemáticas a gran escala de una zona de acceso público.

Las agencias de protección de datos deberán publicar listas de aquellos tratamientos que requieran una evaluación de impacto. Por otra parte, el Reglamento también observa la posibilidad de que las agencias nacionales publiquen listados de tratamientos que no requieren evaluación de impacto.

Respecto al contenido con el que debe contar la evaluación de impacto, el artículo 35 del Reglamento establece una serie de elementos que deben existir en todo caso:

  • Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Evaluación de los riesgos para los derechos y libertades de los interesados.
  • Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que aseguren la protección de datos personales y permitan demostrar la conformidad del tratamiento con el presente Reglamento.

En lo que respecta a la metodología, en el año 2014 la Agencia Española de Protección de Datos (AEPD) publicó una guía para evaluaciones de impacto de protección de datos ante la probable aprobación del proyecto de Reglamento. La guía parte de metodologías que han ido prevaleciendo en otros países, especialmente de los manuales publicados por la Information Commisioner´s Office de Reino Unido, y puede resultar de utilidad para prever los criterios que la AEPD tendrá en cuenta a la hora de considerar adecuada una evaluación de impacto.

Finalmente, el Reglamento prevé que, en el caso de que exista Delegado de Protección de Datos en la organización, ya sea porque se trate de un sujeto obligado o por voluntad propia, el responsable del tratamiento de deberá recabar asesoramiento del mismo para la realización de la evaluación de impacto. Además, la evaluación de impacto servirá de guía al Delegado de Protección de Datos para asegurar que el tratamiento se realiza conforme a los riesgos identificados y las medidas de seguridad propuestas.

En el nuevo curso de DPO de Thomson Reuters Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo.

1 "A Privacy Impact Assessment Framework For Data Protection and Privacy Rights", PIAF Consortium, 2011.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.