Inicio
Protección de datos
Marginales
Procedimiento para poder ...tos o EIPD
Ver Indice
»

Última revisión
07/10/2024

datos

Procedimiento para poder llevar a cabo una evaluación de impacto del tratamiento de datos o EIPD

Tiempo de lectura: 8 min

Tiempo de lectura: 8 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

Se establece una serie de puntualizaciones sobre el procedimiento de la EIPD. Este proceso es obligatorio cuando hay una probabilidad de alto riesgo en el tratamiento y deberá ser realizado por el responsable del tratamiento.

La EIPD es un proceso, por lo que deberá adaptarse a los cambios en el tratamiento de los datos.

Por otro lado, la evaluación debe incluir:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas previstas para afrontar los riesgos.


La EIPD forma parte del proceso de gestión de riesgos para los derechos y libertades de las personas físicas en lo que respecta al tratamiento de sus datos personales. Una vez que se decide llevar a cabo una EIPD, forma parte de la gestión de riesgos para los derechos y libertades, no siendo posible realizarla si no se realiza en el marco de una gestión de riesgos.

El proceso de EIPD es obligatorio cuando hay una probabilidad de alto riesgo en el tratamiento y se traduce en acciones positivas para la implementación de medidas y garantías para la gestión del riesgo, siendo una herramienta que también permite demostrar el cumplimiento.

En cuanto a la forma de llevar a cabo la EIPD debe tenerse en cuenta la guía sobre gestión del riesgo y evaluación de impacto en tratamiento de datos personales publicada por la AEPD en junio de 2021.

EIPD relativa a la protección de datos

La persona que debe realizar la EIPD es el responsable del tratamiento tal como dispone el art. 35.1 del RGPD, siendo por ello responsable de las responsabilidades que se derivan de su ejecución y de los resultados que arroje. Las Directrices WP248 de la AEPD a este respecto han señalado:

«(...) Cualquier otra persona, de dentro o fuera de la organización, puede llevar a cabo una EIPD, pero el responsable del tratamiento sigue respondiendo en última instancia por la tarea.

El encargado del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado (artículo 35, apartado 2), y dicho asesoramiento, junto con las decisiones adoptadas por el responsable, debe ser documentado en la EIPD. El delegado de protección de datos también debe controlar la realización de la EIPD [artículo 39, apartado 1, letra c)]. Se ofrece más orientación en las Directrices del GT29 sobre el delegado de protección de datos, 16/EN WP 243.

Si un encargado lleva a cabo el tratamiento total o parcialmente, dicho encargado debe ayudar al responsable a realizar la EIPD y debe ofrecer la información necesaria [de acuerdo al artículo 28, apartado 3, letra f)]».

El RGPD establece que la EIPD debe hacerse con carácter previo con relación a la ejecución efectiva del tratamiento. Ahora bien, resulta recomendable que la entidad realice la EIPD antes de iniciar el proceso de diseño e implementación efectiva y ello por dos motivos:

  • Proteger la inversión realizada por el responsable en el tratamiento.
  • Cumplir con los principios de protección de datos desde el diseño.

La EIPD, tal como señala la AEPD, es un procesono un estado, por lo que, si durante la vida del tratamiento se producen cambios ajenos al responsable, como pueden ser los contextuales o una ampliación prevista del ámbito o alcance, será necesario actualizar la EIPD y, en su caso, generar un nuevo informe y plan de acción con las medidas de control adicionales que fuera necesario implantar en el marco de la gestión del riesgo antes de continuar con el tratamiento.

CUESTIÓN

Si las condiciones iniciales no obligaban a realizar la EIPD, pero el cambio de circunstancias sí obliga a la misma, ¿qué puede hacer el responsable?

En caso de que no se hubiera realizado la EIPD porque las circunstancias iniciales no obligaban a la misma entonces sería necesario realizar la EIPD desde cero.

Evaluación de la necesidad y proporcionalidad del tratamiento

El art. 35.7 del RGPD establece que la evaluación deberá incluir como mínimo:

«a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas».

Respecto a la evaluación de la necesidad y proporcionalidad del tratamiento debemos señalar que la misma es crucial para asegurar que las operaciones de tratamiento de datos personales sean adecuadas y no excesivas en relación con los fines perseguidos.

A TENER EN CUENTA. El Supervisor Europeo de protección de datos ha publicado dos guías que no siendo de aplicación directa, son útiles para entender los fundamentos de la evaluación. En ellas se precisa el principio de proporcionalidad a la hora de realizar una ponderación cuando entran en conflicto distintos derechos o bienes jurídicos.

En la evaluación de la proporcionalidad del tratamiento debe realizarse la ponderación atendiendo a tres criterios:

  • Juicio de idoneidad: hay que determinar si el tratamiento es adecuado para el fin que persigue. El tratamiento da respuesta a determinadas carencias, demandas, exigencias, obligaciones u oportunidades objetivas y puede conseguir los objetivos propuestos con la eficacia suficiente.
  • Juicio de necesidad: hay que determinar si la finalidad perseguida no puede alcanzarse de otro modo menos lesivo o invasivo, es decir, no existe un tratamiento alternativo que sea igualmente eficaz para el logro de la finalidad perseguida.
  • Juicio de proporcionalidad en sentido estricto: la gravedad del riesgo para los derechos y libertades del tratamiento, y su intromisión en la privacidad, ha de ser adecuada al objetivo perseguido y proporcionada a la urgencia y gravedad de esta. Hay que ponderar el beneficio que el tratamiento, desde el punto de vista de la protección de datos, proporciona a la sociedad manteniendo un equilibrio con el impacto que representa sobre otros derechos fundamentales. Sin embargo, aunque pueda ceder parcialmente, en ningún caso, se puede asumir la negación absoluta del derecho a la protección de datos y vaciarle de su contenido esencial.

La evaluación de la necesidad y de la proporcionalidad debe conducir a la toma de una decisión sobre si el tratamiento es viable o, por el contrario, no lo es de acuerdo a la forma en que está planteado.

En caso de que se concluya que el tratamiento no es necesario o proporcional deben señalarse los aspectos que conducen a esa conclusión y en caso de que sea posible, realizar las modificaciones necesarias para adecuar el tratamiento a los criterios adecuados de necesidad, idoneidad y proporcionalidad.

El proceso de evaluación debe plasmarse en un informe, de tal forma que se registre y guarde toda la información relevante que se ha empleado para realizar el análisis. La forma de presentación dependerá de cómo la documentación pueda organizarse de la forma más eficiente posible dentro de la organización, constatando, como mejor proceda, que se ha realizado dicho análisis y que el responsable del posible tratamiento lo conoce, lo respalda y se obliga, desde el punto de vista normativo, hasta sus últimas consecuencias.

En cualquier caso, la información que ha de encontrarse en la documentación es:

  • Determinación precisa de las finalidades del tratamiento.
  • Definición del umbral de efectividad del tratamiento.
  • Evaluación de la efectividad de la propuesta de tratamiento.
  • Determinación de la relevancia de los fines del tratamiento.
  • Verificación de la adecuación de las operaciones de tratamiento.
  • Justificación de la configuración actual del tratamiento.
  • Cláusulas de caducidad previstas en el tratamiento.
  • Identificación del grado de impacto del tratamiento en los derechos y libertades.
  • Identificación y descripción de medidas compensatorias.
  • Identificación de los beneficios del tratamiento.
  • Confirmación de existencia de identidad en la calidad de la información.
  • Análisis BDB (Balance-Daño-Beneficio).

También debe estar adecuadamente documentada la justificación y la decisión de no realizar la EIPD en el marco de la gestión de riesgo.

CUESTIÓN

¿Qué ocurre si no se realizan las actividades de documentación o si no se documentan adecuada y motivadamente las decisiones del responsable?

En caso de que no se lleven a cabo las actividades de documentación con relación a las actividades de responsabilidad activa desarrolladas, o no se documenten adecuada y motivadamente las decisiones del responsable, no se podrá demostrar el cumplimiento de sus obligaciones y podría dar lugar al inicio de un procedimiento de infracción por la autoridad de control.

Toda la documentación relativa a la EIPD debe estar disponible para la autoridad de control en dos casos:

  • Presentación de una consulta previa conforme al art. 36 del RGPD.
  • Solicitud por parte de la autoridad de control en el ámbito de los poderes que le otorga el art. 58 del RGPD.

Por cuanto se refiere a la transparencia de la EIPD, si bien no existe la obligación de hacer pública toda la documentación, las Directrices WP248 de la AEPD señalan:

«La publicación de una EIPD no representa un requisito jurídico del RGPD, ya que es una decisión que corresponde al responsable del tratamiento. Sin embargo, los responsables deben considerar al menos la publicación de algunas partes, como un resumen o una conclusión de su EIPD. 

El fin de dicho proceso sería ayudar a fomentar la confianza en las operaciones de tratamiento del responsable, y demostrar responsabilidad proactiva y transparencia. Cuando las personas se ven afectadas por la operación de tratamiento, la publicación de una EIPD supone una práctica particularmente positiva. Este podría ser en concreto el caso cuando una autoridad pública lleva a cabo una EIPD».