Última revisión
datos
¿Cómo debe realizarse el análisis y evaluación de riesgos en el tratamiento de datos personales por parte de las Administraciones públicas?
Relacionados:
Vademecum: datos
Fecha última revisión: 04/06/2024
Abordamos el análisis y evaluación de los riesgos que conlleva el tratamiento de los datos personales por las AAPP, la Evaluación de Impacto Relativa a la Protección de Datos (EIPD), la consulta a la autoridad de control y la llevanza de un Registro de Actividades de Tratamiento (RAT). Por un lado, el responsable del tratamiento de datos recabará el asesoramiento del DPD, la opinión de los interesados y el cumplimiento de los códigos de conducta para evaluar los impactos del tratamiento. Por otro, se debe mantener el registro de actividades de tratamiento y comunicarle cualquier cambio al DPD.
Evaluación de impacto relativa a la protección de datos (EIPD)
Antes del tratamiento, el responsable efectuará una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales cuando sea probable que un tipo de tratamiento, especialmente si usa nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, debido a su:
- Naturaleza.
- Alcance.
- Contexto.
- Fines.
Sin embargo, el responsable del tratamiento de datos recabará:
- El asesoramiento del DPD, si ha sido nombrado, al realizar la EIPD; y, en caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
- La opinión de los interesados o de sus representantes en relación con el tratamiento establecido sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
Además, el cumplimiento de los códigos de conducta aprobados del artículo 40 del RGPD por los responsables o encargados correspondientes considerarán al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular, a efectos de la evaluación de impacto relativa a la protección de datos (artículo 35 del RGPD).
A título ilustrativo podemos mencionar la Guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la Agencia Española de Protección de Datos, de junio del 2021 o la Guía de Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo, también de la AEPD, de junio de 2023.
A TENER EN CUENTA. Cuando el tratamiento de acuerdo con el artículo 6, apartado 1, letras c) o e), del RGPD, tenga su base jurídica en el derecho de la Unión o en el derecho del EM que se aplique al responsable del tratamiento, tal derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 del artículo de referencia no serán de aplicación excepto si los EE. MM. estiman necesario proceder a dicha evaluación previa a las actividades de tratamiento (artículo 35.10 del RGPD).
CUESTIONES
1. ¿En qué supuestos se requerirá la evaluación de impacto de protección de los datos?
La evaluación de impacto relativa a la protección de los datos (EIPD) se requerirá en caso de (artículos 35.3 a 35.6 del RGPD):
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de la misma norma.
- Observación sistemática a gran escala de una zona de acceso público.
La autoridad de control:
- Establecerá y publicará una lista de los tipos de operaciones de tratamiento que necesiten una EIPD.
- Establecerá y publicará la lista de los tipos de tratamiento que no requieren EIPD.
- Comunicará esas listas al Comité, regulado en el artículo 68 del RGPD.
Ahora bien, antes de adoptar las antedichas listas, la autoridad de control competente aplicará el mecanismo de coherencia dispuesto en el artículo 63 de la norma que nos ocupa, si esas listas comprenden:
- Actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios EE. MM.
- Actividades de tratamiento que puedan afectar de manera sustancial a la libre circulación de datos personales en la Unión.
2. ¿Qué deberá incluir la evaluación de impacto relativa a la protección de datos?
Como mínimo, la evaluación de impacto deberá reunir (artículo 35.7 del RGPD):
- Descripción sistemática de las operaciones de tratamiento establecidas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Evaluación de los riesgos para los derechos y libertades de los interesados referido en el apartado 1 del artículo 35 del RGPD.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, considerando los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Consulta a la autoridad de control en la EIPD
Antes de proceder al tratamiento, el responsable del mismo consultará a la autoridad de control cuando una EIPD indique que el tratamiento implicaría un alto riesgo si el responsable no toma medidas para mitigarlo, en dicho caso, el responsable del tratamiento le suministrará la siguiente información:
- Responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular, en caso de tratamiento dentro de un grupo empresarial, en su caso.
- Fines y medios del tratamiento previsto.
- Medidas y garantías dispuestas para proteger los derechos y libertades de los interesados de acuerdo con el RGPD.
- Los datos de contacto del DPD, en su caso.
- La EIPD, regulada en el artículo 35 del RGPD.
- Otra información que solicite la autoridad de control.
Sin perjuicio de lo anterior, el derecho de los EE. MM. podrá obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública (artículo 36 del RGPD).
Concreta la Agencia Española de Protección de Datos (AEPD) que «no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».
CUESTIONES
1. ¿En qué casos los EE. MM. garantizarán que se consulte a la autoridad de control?
Los EE. MM. garantizarán que se consulte a la autoridad de control durante la elaboración de (artículo 36.4 del RGPD):
- Toda propuesta de medida legislativa que haya de adoptar un parlamento nacional.
- Una medida reglamentaria basada en dicha medida legislativa que se refiera al tratamiento.
2. ¿Qué sucederá cuando la autoridad de control considere que el referido tratamiento podría infringir el RGPD?
Cuando la autoridad de control estime que el tratamiento de referencia pudiera infringir el RGPD, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control tendrá que, en el plazo de ocho semanas contadas desde la solicitud de la consulta (prorrogables por otras seis semanas en función de la complejidad del tratamiento previsto), asesorar por escrito al responsable, y al encargado (en su caso), y podrá utilizar cualquiera de sus poderes que indica el artículo 58 del RGPD.
No obstante, dichos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta (artículo 36.2 del RGPD).
Llevanza de un registro de las actividades de tratamiento (RAT)
Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento, salvo que sea de aplicación la excepción establecida en el apartado 5 del artículo 30 del RGPD.
Así, el registro de actividades de tratamiento, que podrá organizarse en torno a conjuntos estructurados de datos, tendrá que especificar, de acuerdo con sus finalidades, las actividades de tratamiento llevadas a cabo, y demás circunstancias dispuestas en el RGPD.
Cuando el responsable o el encargado del tratamiento hubieran designado un DPD deberán comunicarle cualquier adición, modificación o exclusión en el contenido del RAT (artículo 31.1 del RGPD).
A TENER EN CUENTA. Los sujetos enumerados en el apartado primero del artículo 77 de la LOPDGDD harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constarán la información dispuesta en el artículo 30 del RGPD y su base legal (artículo 31.2 de la LOPDGDD).
CUESTIÓN
¿Qué información deberá contener el RAT?
Cada responsable y, en su caso, su representante llevará un RAT realizadas bajo su responsabilidad que deberá contener la siguiente información:
- Nombre y datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del DPD.
- Fines del tratamiento.
- Descripción de las categorías de interesados y de las categorías de datos personales.
- Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales (incluidos los destinatarios en terceros países u organizaciones internacionales).
- Transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas (en su caso).
- Plazos establecidos para la supresión de las diferentes categorías de datos (cuando sea posible).
- Descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1 (cuando sea posible).
Cada encargado y, en su caso, el representante del encargado llevará un RAT efectuadas por cuenta de un responsable que contenga (artículos 30.1 y 30.2 del RGPD):
- Nombre y datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del DPD.
- Categorías de tratamientos realizados por cuenta de cada responsable.
- Transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas (en su caso).
- Descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1, del RGPD (cuando sea posible).