Tratamientos de datos que no requieren una evaluación de impacto

Los continuos avances tecnológicos y la evolución de los tratamientos propician la aparición de nuevos riesgos que deben ser gestionados. El Reglamento General de Protección de Datos (RGPD) obliga a los responsables del tratamiento a implementar medidas de control adecuadas para demostrar que se garantiza la seguridad de los datos y los derechos y libertades de los interesados, teniendo en cuenta “riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas” y aplicando las medidas de seguridad adecuadas. Como consecuencia, el responsable del tratamiento debe considerar en la fase de diseño, desde el inicio, las acciones preventivas suficientes para poder identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales.

Tras la aplicación del RGPD los responsables del tratamiento tienen la obligación de evaluar el impacto de las actividades de tratamiento en la protección de datos personales, siempre que sea probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas.

La aplicación del RGPD no debe entenderse como la obligación de realizar una Evaluación de impacto (EIPD) de todos los tratamientos que se vinieran realizando sino que es necesario atender a las especificidades concretas de cada tratamiento.

La Evaluación de Impacto en la Protección de datos Personales (EIPD)

La EIPD es una herramienta que permite evaluar de manera anticipada cuáles son los riesgos potenciales a los que están expuestos los datos personales en función de las actividades del tratamiento que se llevan a cabo. Permite identificar, evaluar y gestionar los riesgos a los que está expuestos los datos personales y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

El artículo 35 del RGPD establece “Cuando sea  probable que  un  tipo  de  tratamiento, en  particular si  utiliza nuevas tecnologías, por  su  naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento  realizará, antes  del  tratamiento,  una  evaluación del  impacto de  las  operaciones de  tratamiento en  la protección de datos personales.”

El resultado de la EIPD debe tenerse en cuenta a la hora de tomar decisiones relacionadas con el cumplimiento de lo previsto en el Reglamento General de Protección de Datos y la toma de decisión de viabilidad o no de llevar a cabo el tratamiento de datos.

¿Quién debe realizar la Evaluación de impacto y a quién se debe involucrar?

La obligación de llevar a cabo una EIPD recae sobre el responsable del tratamiento, con la colaboración y apoyo del encargado del tratamiento y, en su caso, del Delegado de Protección de Datos, si lo hubiere.

La participación del Delegado de Protección de Datos en la EIPD debe entenderse como una función de asesoramiento. (Véase El Delegado de Protección de Datos. DPO).

La ejecución de la EIPD puede realizarse por personal interno o externo de la organización.

Listado de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos

El RGPD prevé la posibilidad de que las autoridades de control publiquen un listado de tratamientos que no requieran una EIPD para facilitar a los responsables del tratamiento identificar los tratamientos que no requieren la elaboración de una EIPD.

Para cumplir con esta previsión la AEPD ha publicado un listado orientativo de tipos de tratamientos que no requieren realizar una evaluación de impacto relativa a la protección de datos (EIPD) y por tanto, están exentos de realizarla, estos son:

1. Tratamientos de datos autorizados por las Autoridades de control, que  se realizan  estrictamente  bajo  las  directrices  establecidas  o autorizadas mediante  circulares  o  decisiones  emitidas  por  las Autoridades de Control, en particular la AEPD, siempre que el tratamiento no se haya modificado desde que fue autorizado.
2. Tratamientos que  se  realizan estrictamente  bajo  las  directrices  de  códigos  de conducta  aprobados  por  la  Comisión Europea o  las  Autoridades  de  Control,  en particular la AEPD.
3. Tratamientos que sean necesarios para el  cumplimiento  de  una  obligación  legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue  a  realizar  una
4. Tratamientos realizados  en  el  ejercicio  de  su  labor  profesional  por  trabajadores autónomos que ejerzan de forma individual, en particular profesionales de la salud, médicos o abogados, siempre que no cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
5. Tratamientos obligatorios por  ley  y realizados  con  relación  a  la  gestión  interna  del personal con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral.
6. Tratamientos realizados por  comunidades  y  subcomunidades  de  propietarios  tal como se definen en la Ley de Propiedad Horizontal.
7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles.

Además, la AEPD ha publicado la herramienta GESTIONA_EIPD con el fin de proporcionar una base inicial para el análisis de tratamientos de riesgo alto, que requieran la realización de una evaluación de impacto o análisis de riesgos en la protección de datos personales. Es una herramienta gratuita que guía a los usuarios a través de los elementos que deben tenerse en cuenta en las evaluaciones de impacto y análisis de riesgos de los tratamientos.