Evaluación de impacto es un proceso mediante el cual se realiza un esfuerzo consciente y sistemático para evaluar los riesgos de privacidad para los interesados en la obtención, uso y revelación de los datos personales. Las evaluaciones de impacto relativas a la protección de datos ayudan a identificar riesgos para la privacidad, predecir problemas y aportar soluciones.
Son instrumentos importantes para la rendición de cuentas, ya que ayudan a los responsables no solo a cumplir los requisitos del RGPD, sino también a demostrar que se han tomado medidas adecuadas para garantizar el cumplimiento del RGPD, según el artículo 24. En otras palabras, una evaluación de impacto es un proceso utilizado para reforzar y demostrar el cumplimiento.
Obligación de realizar evaluación de impacto
Con carácter general, es necesario hacer una evaluación de impacto relativa a la protección de datos, cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
El responsable del tratamiento ha de realizar, antes del tratamiento, una evaluación de impacto de las operaciones de tratamiento.
Casos que requieren evaluación de impacto
Se requiere realizar una evaluación de impacto en los siguientes casos:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos a que se refiere RGPD art. 9.1 o de los datos personales relativos a condenas e infracciones penales a que se refiere RGPD art.10.
- Observación sistemática a gran escala de una zona de acceso público.
Datos relativos a tratamientos de salud
Cuando se traten datos con fines de investigación en salud pública ha de procederse a realizar este procedimiento que determine los riesgos derivados del tratamiento en los supuestos previstos en RGPD art. 35 o en los establecidos por la autoridad de control. Esta evaluación ha de incluir de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.
Criterio del responsable de tratamiento
Sin perjuicio de lo anterior, el CEPD indica que un responsable del tratamiento puede considerar que un tratamiento que cumpla solo uno de estos criterios requiere una evaluación de impacto en la protección de datos personales.
En cambio, puede que un responsable no considere que dicho tratamiento entraña probablemente un alto riesgo. En estos casos, el responsable debe justificar y documentar los motivos por los que no se realiza una evaluación de impacto en la protección de datos personales e incluir/ registrar las opiniones del delegado de protección de datos.
Pueden consultar la lista de tratamiento que requieren de evaluación de impacto en este enlace. Y también pueden consultar los tratamientos que no la requieren en el siguiente enlace.
Pidan presupuesto sin compromiso de implantación de la normativa vigente
