La Evaluación de Impacto de Protección de Datos, EIPD.

La evaluación de impacto de protección de datos, el EIPD, es un instrumento obligatorio en la nueva normativa europea. Entró en vigor el pasado 25 de mayo del 2018. Se trata de una evaluación que se debe realizar antes de tratar datos sensibles en determinados casos. Es la primera vez que se regula y que se menciona de forma expresa.

Su principal función es acreditar que se cumple con el principio de responsabilidad proactiva y reducir los riegos a la hora de la protección de datos de carácter personal. Pero además puede servir para entender mejor lo que verdaderamente implica esta nueva normativa, cumplir mejor con las nuevas obligaciones  y conseguir una gestión eficaz del RGPD. Se debe realizar antes del tratamiento y si existen riesgos residuales deberá consultarse a la APD.

 Supuestos donde es obligatorio realizar una evaluación de impacto, EIPD

Una evaluación de impacto, EIPD, es obligatoria cuando el tratamiento de datos personales está expuesto a un alto riesgo relacionado con los derechos y libertades fundamentales de las personas. Existen algunos supuestos donde es obligatorio realizar una evaluación de impacto:

• Ante una evaluación sistemática y exhaustiva de aspectos personales de una persona.
• Contra tratamientos de datos sensibles a gran escala.
• Ante la observación sistemática de una zona pública a gran escala.
• Operaciones que impliquen alto riesgo a criterio de la autoridad de control.
• Antes de cualquier tratamiento de datos que implique un alto riesgo para los derechos y libertades de las personas físicas. Máxime si se utiliza las nuevas tecnologías invasivas. Por ejemplo, videovigilancia a gran escala, drones, biometríca… etc.

Tanto las autoridades nacionales de protección de datos como el Comité Europeo, proporcionan listas de casos  obligatorios a realizar una evaluación de impacto, EIPD.

Como se realiza una evaluación de impacto, EIPD

Hasta ahora, el propio reglamento no ofrece demasiadas pistas que determinen como se debe realizar una evaluación de impacto, EIPD, para la protección de datos. Según nuestro experto, se deberá analizar todas las fases implicadas en el proceso de tratamiento de datos y abordarlas según las exigencias del RGPD. Para ello se aconseja, identificar los posibles riesgos realizando una clasificación según su origen, naturaleza, particularidad, probabilidad y gravedad. Además investigar y conocer las posibles opciones. Y por último, decidir las medidas que se deben adoptar para evitar o mitigar los posibles riegos de la forma más eficiente posible.

Se puede consultar las directrices sobre la EIPD a efectos del reglamento (UE)2016/679  del 4 de abril del 2017, o los artículos 35 y 36 del RGPD. Concretamente el artículo 35.7 define el contenido mínimo que debe aparecer en dicha evaluación para la protección de datos. Por su  parte la AEPD también ha publicado una guía. Nuestra recomendación es que la redacción de un documento de estas características se realice bajo el asesoramiento de expertos.

El delegado de protección de Datos y las EIPD

Cuando es obligatorio realizar una evaluación de impacto, EIPD, se debe buscar siempre el asesoramiento del DPO. Su intervención debe ser activa tanto para la realización del diseño de la evaluación como en la ejecución de la misma. Sus principales funciones serán de coordinación y de interlocutor principal.