710 - Definición de la evaluación de impacto del tratamiento de datos personales y supuestos en los que es necesario realizarla

Una evaluación de impacto del tratamiento de datos personales o EIPD es un procedimiento destinado a comprobar si el potencial tratamiento de los datos puede suponer un riesgo para la confidencialidad e integridad de los mismos, estableciendo, en caso de que ese riesgo exista, las medidas de control destinadas a mitigarlo o eliminarlo. 

Considerando (84) del RGPD:

«A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».

Como fija el artículo 28 de la LOPDGDD, los responsables y encargados del tratamiento deben valorar si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa, y de manera concreta, el artículo 35, apartado 1, del RGPD dispone:

«1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares».

Tras esto, se estará preparado para la confección del registro de actividades de tratamiento, en el cual habremos de relacionar las finalidades, el conjunto de datos, los interesados y los demás componentes, para agruparlos por tratamientos concretos. Esta es una labor fundamental para un análisis adecuado sobre si se debe proceder a realizar una EIPD, pues si el registro de actividades de tratamiento no se confecciona una vez se ejecutan todos los pasos previos, se concluirá con un programa de cumplimiento claramente deficitario y que, en definitiva, dificultará en grado sumo todo el procedimiento de adaptación.

Por tanto, es posible definir la EIPD como una herramienta ciertamente preventiva, destinada a la identificación, evaluación y gestión constante de los riesgos a los que se exponen las actividades de tratamiento de una entidad. Por su propia naturaleza, la EIPD se debe realizar con anterioridad a la puesta en marcha de las actividades de la entidad, al menos aquellas que se refieran al tratamiento de datos de carácter personal del interesado.

A TENER EN CUENTA. La Agencia Española de Protección de Datos tiene publicadas diversas guías relativas a esta materia, pudiendo citar a modo de ejemplo, la guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, de junio de 2021, o la guía de Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo, de junio de 2023.

Análisis de la naturaleza, el alcance, el contexto y los fines del tratamiento

Identificados todos los tratamientos que pretende llevar a cabo la entidad, procede poner en práctica el análisis sobre la necesidad de llevar a cabo la EIPD. Para ello, se debe analizar si alguno de los tratamientos se enmarca en los supuestos en los que es obligatorio realizar una EIPD y, por el otro, si excluido de los anteriores supuestos, es igualmente aconsejable llevar a cabo esta metodología.

a) Supuestos de obligada realización

Atendiendo a lo dispuesto en el artículo 35 del RGPD, será obligatorio realizar una EIPD cuando sea probable que un tipo de tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

El RGPD hace la apreciación «en particular», determinando así que no nos encontramos ante una lista exhaustiva. Alto riesgo o gran escala son otros dos conceptos concluyentes en la valoración de riesgos para la EIPD en el tratamiento de datos. 

 El Grupo Protección de Datos del artículo 29 en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 hizo las siguientes apreciaciones al respecto: 

- Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 del RGPD (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10 del RGPD.
- Asociación o combinación de conjuntos de datos, como pueden ser los procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos, de una manera que exceda las expectativas razonables del interesado.
- Datos relativos a interesados vulnerables: el tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.
- Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc. El considerando (91) del RGPD deja claro que el uso de una nueva tecnología se atenderá «en función del nivel de conocimientos técnicos alcanzado».

Acudiendo al artículo 35, apartado 3, del RGPD, será obligatorio realizar una EIPD, en estos supuestos:

1. Se produzca una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. De modo que, en el caso de que alguno de los tratamientos que se pretendan realizar esté relacionado con la elaboración de perfiles desde un punto de vista automatizado, sin mayor dilación se procederá a la realización de una EIPD.

Repárese en la idea de que la realización del tratamiento automatizado anterior no tiene que ver directamente con las categorías de datos de carácter personal que son tratados, sino en la forma en la que se realiza la operación de tratamiento, exclusivamente.

El Grupo Protección de Datos del artículo 29 aportó estas definiciones:

- Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado».
- Toma de decisiones automatizadas con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar».

2. Exista un tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales (en relación con los artículos 9.1 y 10 del RGPD). La única dificultad que presenta este condicionante, a la hora de incardinar si se debe realizar o no una EIPD, es determinar el concepto de «gran escala», pues no encontraremos un ejemplo concreto en toda la normativa que nos dé una respuesta concluyente. Sin perjuicio de ello, realizando una interpretación sistemática del uso del término gran escala a lo largo del RGPD y de la LOPDGDD, podemos acordar que estaremos ante un tratamiento a gran escala cuando se persigue tratar una cantidad considerable de datos de carácter personal en cualesquiera de los niveles geográficos existentes (regional, nacional o internacional), que afecten a un gran número de interesados y, asimismo, que impliquen un alto riesgo relacionado con los dos condicionantes anteriores.

Un ejemplo de este caso concreto serían los centros médicos o despachos de abogados que manejen este tipo de datos. La clave para enmarcarlos en este concionante es que, ya se trate de una clínica o un despacho (o cualquier otra entidad que reúna estos requisitos), se configuren en torno a grandes corporaciones, con un volumen de clientes relevante e, incluso, con diferentes sedes o delegaciones a lo largo del territorio nacional.

3. Se proceda a la observación sistemática a gran escala de una zona de acceso público. Guarda cierta relación con el condicionante anterior por la forma en la que se produce el tratamiento susceptible de ser enmarcado en este: a gran escala. La especialidad en este caso tiene que ver con la observancia de una zona de acceso público. Esto es, la instalación de un sistema de videovigilancia cuya zona de visualización conlleve aspectos públicos. En este sentido, tal como hemos desarrollado anteriormente, respecto a las matizaciones y valoraciones de un sistema de videovigilancia, se ha concluido que no es posible la colocación de este tipo de sistemas en zonas públicas, salvo en aquellos casos en los que resulte absolutamente necesario para la salvaguarda de bienes, derechos o la propia instalación o, en su caso, porque se trate de instalaciones o infraestructuras estratégicas o relacionadas con el transporte público.

Acudiendo a las Directrices sobre la EIPD del Grupo de Protección de Datos del artículo 29, en ellas se concreta:

- Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática (...) de una zona de acceso público».

- Tratamiento de datos a gran escala. Se han de tener en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:

- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.

- El volumen de datos o la variedad de elementos de datos distintos que se procesan.

- La duración, o permanencia, de la actividad de tratamiento de datos.

- El alcance geográfico de la actividad de tratamiento.

Como también aprecia este Grupo de Trabajo, el considerando (91) del RGPD hace una pequeña referencia a lo que debe entenderse como concepto de gran escala. Lo hace limitando lo que no debe considerarse gran escala, como es el caso de un médico u otro profesional de salud respecto a datos personales de sus pacientes. Así, en esos supuestos no sería obligatoria la EIPD.

De lo anterior, podemos definir como entidades ejemplificativas en este tipo de casos, las empresas de transporte de viajeros que empleen este tipo de sistemas u organismos públicos. No obstante, el concepto de acceso público no resultará equiparable a zona pública, en la medida en que es posible que una empresa tenga tal afluencia de clientes que pueda ser considerada una zona de acceso público.

4. Si se lleva a cabo un tratamiento con fines de investigación en salud pública o biomédica. Desarrolla la D.A. 17.ª de la LOPDGDD que para estos supuestos ha de realizarse una EIPD que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 del RGPD o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.

CUESTIÓN

¿En qué tipo de establecimientos podemos afirmar que es necesario realizar una EIPD atendiendo al condicionante de los sistemas de videovigilancia?

Tal como dispone el propio artículo 35, apartado 2, letra b), del RGPD, aquellos establecimientos que realicen una visualización de imágenes de modo sistemático y en un volumen considerable deberán realizar una EIPD. En este sentido, ejemplos al respecto serían los centros comerciales, las entidades bancarias, los edificios sindicales, los organismos públicos, los casinos o salas de juego y todas aquellas entidades abiertas al público general que dispongan de un sistema de videovigilancia con numerosas cámaras interconectadas y cuya visualización en tiempo real requiera diferentes monitores simultáneos.

Continuando con la conclusión del Grupo de Protección de Datos del artículo 29, este considera que cuantos más criterios cumpla el tratamiento, más probable será que represente un alto riesgo para los derechos y libertades de los interesados y, por tanto, requiera una EIPD independientemente de las medidas que el responsable contemple adoptar. Sin embargo, en algunos casos, un responsable del tratamiento puede considerar que un tratamiento que cumpla solo uno de estos criterios requiere una EIPD.

En cambio, aunque una operación de tratamiento se corresponda con los casos anteriormente mencionados, puede que un responsable no considere que dicho tratamiento «entraña probablemente un alto riesgo». En estos casos, el responsable debe justificar y documentar los motivos por los que no se realiza una EIPD e incluir o registrar las opiniones del delegado de protección de datos.

Por su parte, la AEPD en su guía sobre Gestión de riesgo y evaluación de impacto en tratamientos de datos personales recoge un listado de supuestos en los que sería obligado realizar la EIPD, en los que incluye:

• Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
• Cuando se trate de alguno de los supuestos establecidos en el art. 35.3 del RGPD.
• Cuando exista alguna norma especial que exija una EIPD para el tratamiento.
• Cuando el tratamiento se corresponde con alguno de los ejemplos de obligación enumerados en las Directrices WP248.
• Cuando el tratamiento cumple al menos dos de las condiciones de las enumeradas en las Directrices WP248 para realizar una EIPD.
• Cuando el tratamiento cumpla con dos o más criterios de las Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4) publicada por la AEPD.
• Cuando se aprecie un alto riesgo teniendo en cuenta los supuestos enumerados en el art. 28.2 de la LOPDGDD.
• Cuando el tratamiento esté identificado como obligado a realizar una EIPD en alguna de las directrices publicadas por el CEPD.
• Cuando el tratamiento se encuentre sujeto a un código de conducta o a un mecanismo de certificación que exijan al responsable la realización de una evaluación de impacto.

A TENER EN CUENTA. El incumplimiento de la realización de una EIPD en los tratamientos de datos personales en que sea exigible será considerado como infracción grave como así lo tipifica el artículo 73, letra t) de la LOPDGDD. 

b) Supuestos de recomendable realización

De acuerdo con el artículo 35, apartado 1, del RGPD, los condicionantes que se deben analizar a la hora de averiguar si el tratamiento o conjunto de tratamientos revisten la relevancia necesaria son la naturaleza, el alcance, el contexto y las finalidades del tratamiento. En base a este precepto y siguiendo las directrices establecidas por la AEPD en su Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD, procede realizar las siguientes consideraciones sobre los factores a analizar:

• Sobre la naturaleza del tratamiento, es necesario valorar ciertas características básicas para comprobar si su concurrencia pudiera disparar el riesgo del tratamiento analizado. Así, habría que preguntarse si se tratarán categorías especiales de datos, si se van a tratar datos a gran escala, si se realiza un seguimiento exhaustivo de las personas o si los datos se refieren a personas en situación de vulnerabilidad (menores de 14 años o discapacitados, principalmente).
• En relación con el alcance del tratamiento, simplemente se debe valorar cuáles son los efectos que tendría llevar a cabo el mismo a través de diferentes cuestiones, como preguntarse si se realiza un proceso de toma de decisiones con efectos jurídicos, si se realiza una valoración del riesgo crediticio o si se valora la exclusión de beneficios sociales o fiscales.
• Por lo que respecta al contexto del tratamiento o tratamientos a analizar, se deben valorar las circunstancias en las que se realizarán los tratamientos concretos. En este caso, la principal razón para preocuparse por el alto riesgo que podría conllevar reside en el uso de nuevas tecnologías, por los potenciales peligros invasivos sobre la privacidad que pudieran proyectar. De todos modos, no es el único condicionante, la AEPD plantea otras cuestiones como la pluralidad de responsables de tratamiento, cadenas complejas de encargados de tratamiento, así como cesiones o transferencias internacionales de datos.
• Por último, al analizar la finalidad o finalidades del tratamiento, se debe verificar, primeramente, si existe una pluralidad de ellas en un mismo tratamiento al objeto de valorar su compatibilidad y, en segundo término, será necesario plantearse ciertas cuestiones como, por ejemplo, si se producirán elaboraciones de perfiles, análisis predictivos de estos datos, monitorizaciones o prestaciones de servicios relacionados con la salud.

Por su parte, la guía de la Agencia Española de Protección de Datos de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, de junio de 2021, recoge que no es obligado realizar una evaluación de impacto, sin perjuicio de otras obligaciones establecidas en el RGPD, en los siguientes supuestos:

• Cuando no sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas (art. 35.1).
• Cuando el tratamiento entre dentro de lo establecido en la Lista orientativa de tipos de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos según el artículo 35.5 RGPD publicada por la AEPD y validada por el CEPD.
• Cuando la naturaleza, el alcance o el ámbito, el contexto y los fines del tratamiento sean muy similares al tratamiento para el que ya se haya realizado una EIPD previa.
• Cuando una actividad de tratamiento, de conformidad con el artículo 6, apartado 1, letra c) o e), tenga una base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro, cuando tal Derecho regule la operación específica de tratamiento y cuando ya se haya realizado una EIPD en el contexto de la adopción de dicha base jurídica (artículo 35, apartado 10), excepto si un Estado miembro considera necesario proceder a dicha evaluación previa a las actividades de tratamiento concretas que venga a regular.
• Cuando las actividades de tratamiento hayan sido comprobadas por la Autoridad de Control antes de mayo de 2018 en condiciones específicas que no hayan cambiado.

Responsables del tratamiento y listas de operaciones de tratamiento

Continuando con lo establecido en el artículo 35 del RGPD, también es necesario saber sobre la EIPD:

• El responsable del tratamiento debe recabar, al realizar la EIPD, asesoramiento del DPD cuando hubiese sido nombrado —entre las funciones del DPD está la de ofrecer asesoramiento al responsable en la evaluación de impacto, como especifica el artículo 39, apartado 1, letra c), del RGPD—. Para el cumplimiento de este mandato también será auxiliado por el encargado del tratamiento cuando así proceda, como estipula el artículo 28, apartado 3, letra f), del RGPD —el tratamiento por el encargado debe regirse por un contrato u acto jurídico que conforme al derecho de la UE o de los EEMM vincule al encargado respecto al responsable y concrete, entre otras, este deber de ayuda—.

• Como recogen los apartados 4 y 5 del artículo 35 y el apartado 1, letra k), del artículo 57 del RGPD, la autoridad de control debe establecer y publicar una lista de los tipos de operaciones de tratamiento que requieran de EIPD, así como una lista de las que no requieran de esa evaluación de impacto. Debe aplicarse, con carácter previo a la adopción de las listas, el mecanismo de coherencia para el caso de que las listas incluyeran actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros o cuando se trate de actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión. 

Ambas listas deben comunicarse al Comité que emitirá dictamen como indica el artículo 64, apartado 1, letra a) del RGPD.