EIPD: qué es, cuándo es obligatoria y quién debe realizarla

Contrapicado de edificios altos de oficinas

Dentro del amplio abanico de regulación al que hoy en día está sometido el tratamiento de los datos personales de los ciudadanos, la denominada Evaluación de Impacto en la Protección de Datos Personales (EIPD) no es más que un paso previo para reforzar la seguridad y el buen manejo de los datos de las personas por parte de empresas e instituciones.

Con la EIPD se pueden identificar amenazas sobre los datos recabados y se puede evitar que los mismos se utilicen de forma inadecuada, o caigan en manos de quien los quiera dar un uso distinto para lo que fueron recogidos.

Saber cuándo es necesario realizarla, qué debe incluir y quien debe encargarse de ella son aspectos que veremos, a continuación, en el presente artículo.

¿Qué es la EIPD?

La EIPD no es más que es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales de los ciudadanos que están en posesión de una organización o institución, en función de las actividades de tratamiento que se realizan con dichos datos.

Llevar a cabo un análisis de riesgos antes del tratamiento específico que se vaya a dar a esos datos resulta fundamental para identificar los riesgos a los que se pueden enfrentar los datos de los interesados y, de esa manera, establecer una respuesta adoptando las medidas necesarias para reducir estos riesgos hasta un nivel aceptable.

Y es importante el matiz que establece el Reglamento General de Protección de Datos (RGPD) que indica que las evaluaciones de impacto se deben llevar a cabo «antes del tratamiento» en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

Grupo de jóvenes trabajando frente a un ordenador

¿Cuándo es obligatoria la EIPD?

Es el artículo 35 del RGPD el que establece los supuestos en los que resulta necesario realizar una evaluación de impacto. En concreto, el apartado 1 del artículo indica que “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”.

La evaluación de impacto a que se refiere el citado artículo se requerirá en particular en caso de:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
  • Observación sistemática, a gran escala, de una zona de acceso público.

Sobre este último punto, para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta lo siguiente:

  • El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población.
  • El volumen de datos y la variedad de datos tratados.
  • La duración o permanencia de la actividad de tratamiento.
  • La extensión geográfica de la actividad de tratamiento.

Qué debe incluir una evaluación de impacto sobre la protección de datos

El RGPD establece que una evaluación de impacto de protección de datos debe incluir, como mínimo:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluido, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento con respecto a su finalidad.
  • La evaluación de los riesgos que supone ese tratamiento.
  • Las medidas previstas para afrontar los riesgos, incluidas las garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Dedo apuntando un gráfico en una pantalla en una pantalla digital

Además, como recomienda la Agencia Española de Protección de Datos, debe tenerse en consideración lo siguiente:

En cuanto al contexto:

Debe realizarse una descripción detallada del ciclo de vida y del flujo de datos en el tratamiento, con identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.

En la gestión de riesgos:

Es necesario identificar las amenazas y riesgos potenciales a los que están expuestas las actividades de tratamiento, evaluar la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización y ofrecer una respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable.

En cuanto a las conclusiones:

Ha de realizarse un informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados.

¿Quién debe realizar la EIPD?

La evaluación de impacto debe realizarla el responsable del tratamiento de los datos, con el apoyo y colaboración del encargado del tratamiento, si lo hubiese, y, en su caso, con el delegado de protección de datos.

Además, durante el procedimiento se puede solicitar la participación de los responsables de otras áreas de la organización implicadas en el tratamiento de datos, como asesoría jurídica, finanzas o tecnología, entre otros.

De ahí que la responsabilidad final pueda recaer en cualquier profesional de la empresa, por lo que siempre es recomendable para estos profesionales contar con un seguro de responsabilidad civil que cubra una posible actuación negligente.

Otros artículos que te pueden interesar

Descubra más detalles acerca de nuestra experiencia, productos, noticias de interés, eventos...