1- ¿Qué es la EIPD?

La evaluación de impacto sobre la protección de datos (EIPD) es un procedimiento previsto en el artículo 35 del Reglamento General de Protección de Datos que tiene como objetivo valorar la necesidad, la proporcionalidad y los posibles riesgos que presenta un tratamiento de datos.  Este procedimiento servirá posteriormente para diseñar medidas idóneas para afrontar esos posibles riesgos. Una EIPD puede abordar un solo tratamiento o también diversos tratamientos que presenten analogías en términos de naturaleza, ámbito, contexto, finalidad y riesgo.

2- ¿Por qué realizar una EIPD?

La EIPD es una herramienta importante de cara a la responsabilidad (accountability) de la empresa u organización que lo lleve a cabo ya que ayuda al responsable de tratamiento no solamente a respetar las prescripciones del RGPD sino también a probar que han adoptado las medidas idóneas para garantizar su cumplimiento. La EIPD es, por tanto, un procedimiento que permite valorar y demostrar la conformidad con las normas en materia de protección de datos personales. Tanto es así que el Grupo del Artículo 29 sugiere que se valore su empleo para todos los tratamientos y no solamente en los casos en los que es obligatoria.

3- ¿En qué momento se debe hacer una EIPD?

La EIPD debe ser hecha antes de proceder al tratamiento de datos. Además, se aconseja reevaluar regularmente la EIPD, repitiendo las valoraciones periódicamente.

4- ¿Quién debe llevar a cabo la EIPD?

La responsabilidad de llevar a cabo la EIPD corresponde al responsable de tratamiento, aunque la realización material de la evaluación de impacto puede ser encargada a otro sujeto interno o externo a la empresa u organización. El responsable de tratamiento deberá, en cualquier caso, monitorizar el desarrollo de la EIPD junto con el Delegado de Protección de Datos en caso de que haya sido nominado y, si el tratamiento lo requiere, recogerá también el parecer de expertos en el sector, del responsable de seguridad de sistemas informáticos y del responsable de TI.

5- ¿Cuándo es obligatoria la EIPD?

En todos aquellos casos en los que el tratamiento de datos puede presentar un riesgo elevado para los derechos y libertades de las personas físicas.

El Grupo del Artículo 29 ha concretado una serie de criterios más específicos para el empleo de la EIPD que recogemos a continuación:

  • Cuando se realicen tratamientos valorativos o de scoring, incluyendo la realización de perfiles.
  • Cuando se adopten sistemas de automatización de decisiones que produzcan efectos jurídicos significativos (contrataciones, concesión de préstamos, seguros)
  • Cuando se lleve a cabo una monitorización sistemática (ej.: videovigilancia)
  • Cuando se traten datos sensibles, judiciales o de naturaleza extremadamente personal (ej.: información sobre opiniones políticas)
  • Tratamientos de datos personales a gran escala
  • Combinación de conjuntos de datos derivados de dos o más tratamientos desarrollados con finalidades distintas y/o titulares distintos y cuyo tratamiento puede no estar contemplado en el consentimiento recogido inicialmente (como puede ser el caso del Big Data)
  • Cuando se traten datos relativos a sujetos especialmente vulnerables (menores, personas con patologías psiquiátricas, solicitantes de asilo, ancianos, etc.)
  • Cuando se empleen innovaciones o soluciones tecnológicas nuevas como, por ejemplo, el reconocimiento facial, Internet de las Cosas, etc.
  • Cuando se lleven a cabo tratamientos que podrían condicionar el ejercicio de un derecho o el acceso a un servicio o contrato (screening de banca, registros de morosos)

Si se dan al menos dos de estas condiciones, la EIPD es obligatoria, pero el responsable de tratamiento puede decidir emplearla cuando se dé solo uno.

6- ¿Cuándo no es obligatoria la EIPD?

Según las directrices del Grupo del Artículo 29, la EIPD no será necesaria cuando los tratamientos:

  • No presenten un riesgo elevado para los derechos y libertades de las personas físicas.
  • Tengan una naturaleza, ámbito, contexto y finalidad muy similar a otro tratamiento para el que ya se haya realizado una EIPD.
  • Hayan sido ya puestos a disposición y verificados por parte de un autoridad de control antes de mayo de 2018 y su finalidad y objeto no hayan variado.
  • Están incluidos en el elenco de tratamientos que no requieren EIPD.
  • Hagan referencia a normas y regulaciones legales para las que ya ha se han realizado EIPDs.