610 - ¿En qué consiste y cuándo ha de realizarse una EIPD?

Podemos definir la evaluación de impacto de protección de datos (EIPD) como una herramienta ciertamente preventiva, destinada a la identificación, evaluación y gestión constante de los riesgos a los que se exponen sus actividades de tratamiento de una entidad la cual, por su propia naturaleza, se debe realizar con anterioridad a la puesta en marcha de las actividades de la entidad, al menos aquellas que se refieran al tratamiento de datos de carácter personal del interesado.

El considerando (84) del RGPD dispone sobre el mismo que:

«A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».

1. Artículo 35 del RGPD

El artículo 35 del RGPD regula la evaluación de impacto relativa a la protección de datos y establece, completando el considerando (84) del RGPD, que:

«1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares».

2. Definiciones del GPD del artículo 29

El Grupo Protección de Datos del artículo 29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 (en adelante en este punto, Grupo «Protección de Datos del artículo 29») hizo las siguientes apreciaciones al respecto: 

• Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 del RGPD (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10 del RGPD. 
• Asociación o combinación de conjuntos de datos, como pueden ser los procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos, de una manera que exceda las expectativas razonables del interesado. 
• Datos relativos a interesados vulnerables: el tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.
• Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. El considerando (91) del RGPD deja claro que el uso de una nueva tecnología se atenderá «en función del nivel de conocimientos técnicos alcanzado».

3. Artículos 35.2 y 35.3 del RGPD

Añaden los apartados 2 y 3, del mencionado artículo 35 del RGPD:

«2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público».

4. Apreciaciones del GPD del artículo 29 sobre los apartados 2 y 3 del artículo 35 del RGPD

a) Respecto a lo recogido en el apartado a), el Grupo Protección de Datos del artículo 29 aportó estas definiciones:

- Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado».

- Toma de decisiones automatizada con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar».

b) En cuanto al tratamiento a gran escala que indica la letra b), apartado 3, del RGPD, la única dificultad es encontrar un ejemplo concreto en toda la normativa que nos dé una respuesta concluyente. Sin perjuicio de ello, realizando una interpretación sistemática del uso del término gran escala a lo largo del RGPD y de la LOPDGDD, podemos acordar que estaremos ante un tratamiento a gran escala cuando se persigue tratar una cantidad considerable de datos de carácter personal en cualesquiera de los niveles geográficos existentes (regional, nacional o internacional), que afecten a un gran número de interesados y, asimismo, que impliquen un alto riesgo relacionado con los dos condicionantes anteriores.

Un ejemplo de este caso concreto serían los centros médicos o los despachos de abogados que manejen este tipo de datos. La clave para enmarcarlos en este concionante es que, ya se trate de una clínica o un despacho (o cualquier otra entidad que reúna estos requisitos), se configuren en torno a grandes corporaciones, con un volumen de clientes relevante e, incluso, con diferentes sedes o delegaciones a lo largo del territorio nacional.

c) Observación sistemática a gran escala de una zona de acceso público: se ha concluido que no es posible, por regla general, la colocación de este tipo de sistemas en zonas públicas, tan solo en aquellos casos en los que resulte absolutamente necesario para la salvaguarda de bienes, derechos o la propia instalación o, en su caso, porque se trata de instalaciones o infraestructuras estratégicas o relacionadas con el transporte público.

Acudiendo a las Directrices sobre EIPD del Grupo de Protección de Datos del artículo 29, en ellas se concreta:

• Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática [...] de una zona de acceso público».
• Tratamiento de datos a gran escala. Se han de tener en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:
  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
  • El volumen de datos o la variedad de elementos de datos distintos que se procesan.
  • La duración, o permanencia, de la actividad de tratamiento de datos.
  • El alcance geográfico de la actividad de tratamiento.

Como también aprecia este Grupo de Trabajo, el considerando (91) del RGPD hace una pequeña referencia a lo que debe entenderse como concepto de gran escala. Lo hace limitando lo que no debe considerarse gran escala, como es el caso de un médico u otro profesional de salud respecto a datos personales de sus pacientes. Así, en esos supuestos no sería obligatoria la EIPD.

5. Listas de la AEPD en materia de EIPD

Así mismo, y como indican los apartados 4 y 5 del artículo 35 del mencionado RGPD:

«4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.

5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité».

En respuesta a lo anterior, la AEPD ha elaborado una lista de tratamiento excluidos a la EIPD o que requiere de evaluación de impacto.