La evaluación de impacto relativa a la protección de datos es un proceso diseñado para evaluar los riesgos que el procesado de los datos personales supone para los individuos. Esta evaluación tiene como objetivo determinar si este procesado de datos puede llevarse a cabo de una manera segura y tiene carácter preventivo por lo que deberá realizarse antes de que se haya llevado a cabo dicho procesado.
Aunque la evaluación de impacto de protección de datos no es algo nuevo, el Reglamento General de Protección de Datos (RGPD) introduce su obligatoriedad para determinados tipos de tratamientos de datos y dispone que, además de realizarse la evaluación, deben implementarse las medidas que arroje. Todo en aras de brindar una protección adecuada a los individuos y minimizar los riesgos para su privacidad.
El Reglamento General de Protección de Datos introduce así el concepto de Evaluación de impacto relativa a la protección en su artículo 35:
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
Las circunstancias en las que el procesado de datos puede presentar riesgos significativos y que requieren de una evaluación de impacto son:
- a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
Esto incluiría a negocios online en general y a las grandes plataformas como Google y Facebook.
- b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales (…)
Esto incluiría a proveedores de asistencia sanitaria y aseguradoras.
- c) observación sistemática a gran escala de una zona de acceso público.
Este se referiría a sistemas de vídeo-vigilancia sobre todo.
El Grupo de Trabajo del Artículo 29 hizo público un documento el pasado abril en el que recogía criterios para determinar si un procesado de datos requiere o no una evaluación de impacto. Tras esta publicación, se abrió un proceso en el que el Grupo de Trabajo pide a cualquier parte interesada que proporcione sus comentarios sobre los criterios para incorporarlos en el texto definitivo que se hará público el próximo 23 de mayo.
En el documento del Grupo de los 27 se recoge explícitamente el ejemplo de los datos genéticos y de salud procesados en hospitales como datos de alto riego que requieren de una evaluación de impacto. Asimismo, declara que el procesado a gran escala de datos de salud requerirá muy probablemente la realización de una evaluación de impacto dado que la operación de procesado puede resultar en un “alto riesgo para los derechos y libertades de la persona”.
