¿Cuándo se debe realizar una EIPD?

Es fundamental realizar un análisis previo.

¿Para qué?

Para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada.

Del resultado del análisis sobre la necesidad de realizar una EIPD se puede concluir que:

Sí es necesario realizar una EIPD:

Se realizará y documentará una EIPD con todas sus fases.

No es necesario realizar una EIPD:

Se debe documentar adecuadamente los motivos por los cuales se ha llegado a esa conclusión.

En cualquier caso, se debe mantener evidencia de que se ha llevado a cabo este análisis (responsabilidad proactiva).

Tratamientos en los que es obligatorio realizar una EIPD:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas, o que les afecten de modo similar.
  • Tratamiento  a  gran  escala  de  las  categorías  especiales  de  datos  personales,  o  datos  sobre  condenas e infracciones penales, o medidas de seguridad conexas.
  • Observación sistemática a gran escala de una zona de acceso público.
  • Evaluación o scoring: Valoraciones y análisis, incluidos la elaboración de perfiles y predicciones, especialmente de “aspectos relacionados con el desempeño del interesado en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, ubicación o movimientos”.
  • Toma de decisiones automatizada con efecto legal o similar:Procesamiento que tiene como objetivo la toma de decisiones sobre sujetos que producen “efectos legales sobre la persona física” o que “de manera similar afecta significativamente a la persona física”. Por ejemplo, si el procesamiento puede conducir a la exclusión o discriminación de las personas.

¿Qué debe incluir una EIPD?

  • Una descripción sistemática de la actividad o actividades de tratamiento previstas.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una evaluación de los riesgos.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

 

Estructura de la EIPD

Describir el ciclo de vida de los datos:
  • Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento.
  • Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.
Analizar la necesidad y proporcionalidad del tratamiento:

Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

Gestión de riesgos:
  • -Identificar amenazas y riesgos
  • -Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
  • -Tratar los riesgos:
Conclusión, validación y Plan de Acción.

-Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control definidas para tratar los riesgos identificados y concluir con respecto al resultado obtenido.

-Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo, de una actividad de tratamiento, hasta un nivel considerado aceptable.

-Elaborar un Informe de conclusiones de la EIPD donde se documente el  resultado  obtenido  junto  con  el  plan  de  acción  que  incluya  las  medidas  de  control  a  implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

 ¿Quién debe realizar una EIPD y a quién se debe involucrar?

  • Corresponde al responsable del tratamiento la obligación de realizar la EIPD y no al DPD.
  • El Delegado  de  Protección  de  Datos  (en  adelante  DPD)  proporciona  el  asesoramiento necesario al responsable del tratamiento para el adecuado desarrollo de la ejecución de una EIPD.
  • Por tanto, la obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos.
  • Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento puede ser requerido durante el proceso de evaluación.
  • En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
  • Es fundamental que, a nivel interno de la Organización, exista una comunicación fluida con las áreas involucradas en las operaciones del tratamiento, con el objetivo de obtener informaciones relevantes sobre el ciclo de vida de los datos asociados al tratamiento.
  • Será vital poder describirlo de forma clara y fidedigna, identificar sus vínculos con otros tratamientos y llevar a  cabo  la  evaluación  de  riesgos  disponiendo  de  toda  la  información  necesaria  sobre  lo  que  este realiza.
  • Adicionalmente, la consulta con terceras partes encargadas de las actividades de tratamiento proporciona a la Organización la oportunidad de obtener una visión completa de cómo se verán afectados los datos por las actividades de tratamiento delegadas en terceros.
  • Entre las posibles garantías para los derechos y libertades de los interesados deberá estimarse la posibilidad que el RGPD recoge también en su artículo 35.9 de pedir, cuando proceda, las opiniones de los interesados o sus representantes, como por ejemplo asociaciones, en relación con el tratamiento.

Observaciones Adicionales

  • Adicionalmente a las fases que componen una EIPD, es recomendable que exista un proceso de supervisión y revisión de la implantación, o puesta en marcha, del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción.
  • La EIPD debe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.
  • Ante  cambios  en  la  descripción  del  tratamiento,  o  en  la  experiencia  que  muestre  amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control.
  • En caso de que los cambios sobre el tratamiento no sean significativos, y no generen por tanto nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.

Gestiona Abogados