Última revisión
datos
1110 - ¿Debe un abogado o procurador realizar una Evaluación de Impacto de Protección de Datos en el tratamiento de datos de su despacho?
Relacionados:
Vademecum: datos
Fecha última revisión: 31/05/2024
La AEPD publicó una lista orientativa de tratamientos de datos que no requieren la obligatoriedad de una Evaluación de Impacto de Protección de Datos (EIPD).
Por otro lado, existen tratamientos para los cuales sí es obligatoria la EIPD, como los relativos a perfilado o valoración de sujetos, decisiones automatizadas, observación sistemática y exhaustiva, uso de categorías especiales de datos, uso de datos biométricos, uso de datos genéticos, uso a gran escala, asociación, combinación o enlace de registros, tratamientos sobre sujetos vulnerables, uso de nuevas tecnologías o uso innovador de tecnologías consolidadas, y tratamientos que impidan a los interesados ejercer sus derechos.
1. No obligatoriedad de la EIPD
La AEPD publicó una lista orientativa de tipos de tratamientos que no requieren de una evaluación de impacto relativa a la protección de datos, marcando como preámbulo el alto coste de este tipo de EIPD y la necesidad de una economía de medios.
Como norma general, quedarán excluidas de la obligación de realizar la EIPD cualquier tratamiento de datos que no sea de carácter personal. Hay que tener en cuenta que lo que ha de hacerse extensivo es el concepto de «datos de carácter personal», de manera que se presumirán como tal por defecto.
En lo que atañe a la profesión de la abogacía y la procura, la AEPD ha dictado, de manera explícita, que no requiere de una EIDP:
«Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD».
CUESTIÓN
¿Debo realizar una EIPD como abogado en el tratamiento de datos de mi despacho?
No, no tienes que realizarla si eres autónomo y trabajas de forma individual. También se debe tener en cuenta que no sea un tratamiento de datos que implique una EIPD, que serán, además de lo prestablecido por el artículo 35, apartado 3, del RGPD, los que recoge la AEPD en su Lista de Tipos de tratamiento de datos que requieren EIPD y en cuyo caso puede requerirse que se cumpla la realización de la evaluación de impacto.
2. Obligatoriedad de una EIPD
En base a lo anterior y, acudiendo a la Lista de Tipos de tratamiento de datos que requieren EIPD (de la AEPD), en apoyo de las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD, del grupo de protección de datos del artículo 29, debemos saber que será obligatoria la evaluación de impacto, sin perjuicio de lo dispuesto en el artículo 35 del RGPD, para los casos que se refiera a:
- Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
- Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
- Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
- Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 «Directrices sobre los delegados de protección de datos (DPD)» del grupo de trabajo del artículo 29.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b, c y d) del RGPD: la comunicación resulta imposible o supone un esfuerzo desproporcionado, la obtención o comunicación está establecida por el derecho de la UE o de los EEMM, o los datos deban seguir teniendo carácter confidencial (secreto profesional).
CUESTIONES
1. Soy abogado penalista, ¿debo realizar una EIPD?
Tras la lectura de la lista que ofrece la Lista de la AEPD y con la referencia explícita que hace a los tratamientos que impliquen uso de datos relativos a condenas o infracciones penales del artículo 10 del RGPD (y artículo 10 de la LOPDGDD), se deduce que sí es obligatorio realizar la EIPD. No obstante, debe tenerse en cuenta si el ejercicio se hace manera individual o colectiva, en un despacho conformado por varios abogados o procuradores.
Recordar que, para el caso del ejercicio individual, la AEPD ha establecido que no es obligatoria realizar la EIPD, al margen de que pueda requerirse en algunos tratamientos concretos como también es el de datos de carácter penal. Por lo que, si ejerce como abogado penalista de manera individual, en principio, no debe realizar EIPD alguna.
Sin embargo, si su ejercicio como abogado penalista no tiene carácter individual y se desarrolla de manera colectiva o en el marco de un despacho conformado por varios profesionales, sí debe realizar la EIPD como así le obliga la AEPD y puede interpretarse del articulado del RGPD.
2. Y si estando obligado, no llevo a cabo la EIPD, ¿puedo ser sancionado?
Sí, y será sancionado por una infracción grave, tipificada en el artículo 73, letra t) de la LOPDGDD, pudiendo enfrentarse a una multa administrativa de hasta 10.000.000 euros o, en el caso de una entidad mercantil, a una multa de cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía.
Para mayor información consultar el artículo 83, apartado 4 a), del RGPD.
3. ¿Cuándo prescribe la infracción grave y su sanción?
Este tipo de infracciones prescribe a los dos años, plazo que se interrumpe por la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose si el expediente sancionador se paralizara durante más de 6 meses por causas no imputables al posible infractor.
Por su parte, la sanción prescribirá al año en los casos que su importe sea inferior a 40.000 euros, a los dos años cuando el importe esté comprendido entre los 40.001 y 300.000 euros, y a los tres años si el importe supera los 300.000 euros, interrumpiéndose estos plazos cuando, con conocimiento del interesado se inicie el procedimiento de ejecución, y volverá a transcurrir si se paraliza durante más de 6 meses por causa no imputable al infractor.
Para mayor información consultar los artículos 73 y 78 de la LOPDGDD.