1200 - Procedimiento de evaluación de impacto de protección de datos en las comunidades de propietarios

En primer lugar, el considerando (84) del RGPD dispone:

«A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».

CUESTIÓN

¿Qué es una EIPD?

La EIPD se configura como una herramienta ciertamente preventiva, destinada a la identificación, evaluación y gestión constante de los riesgos a los que se exponen las actividades de tratamiento de una entidad. Esta evaluación, por su propia naturaleza, se debe realizar con anterioridad a la puesta en marcha de las actividades de la entidad, al menos, previamente a la realización de aquellas actividades que se refieran al tratamiento de datos de carácter personal del interesado.

Dicta el artículo 35, apartado 1, del RGPD que:

«1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares».

El condicionante de «alto riesgo» será determinante para saber si procede la realización de una EIPD. La AEPD dispuso al respecto que los tratamientos referidos a la gestión de la comunidad de propietarios entrañan un riesgo mínimo, por lo que no se ve necesario ese análisis de riesgos, no obstante ofreció una herramienta (online) que ayuda a cumplir dicha obligación en esos supuestos concretos: Facilita.

CUESTIONES

1. ¿En qué consiste la herramienta Facilita?

Facilita se configura como un mecanismo gratuito que ofrece la AEPD cuyo objetivo es dar ayuda a empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del RGPD. 

Una vez finalice su ejecución, los datos que fueran aportados se eliminan, de manera que la AEPD no puede conocer la información facilitada.

Esta herramienta se caracteriza por haber sido diseñada para ser un recurso útil para cualquier empresa o profesional. El mecanismo es el siguiente: a través de tres pantallas de preguntas muy concretas permite a su usuario valorar su situación respecto del tratamiento de datos personales que lleva a cabo, si se adapta a los requisitos exigidos para utilizar Facilita o si debe realizar un análisis de riesgos. 

Fuente: página web AEPD.

2. ¿Qué tratamientos se supone que implican un nivel de riesgo escaso o mínimo?

La AEPD relacionó una serie de ejemplos que entrañan escaso nivel de riesgo, y que pueden darse en el tratamiento de datos por las comunidades de propietarios, como puede ser: el tratamiento de datos de contacto y facturación o el tratamiento de datos de contacto de proveedores.

Fuente: página web AEPD.