¿Cuándo se considera que un tratamiento es de alto riesgo?
cuando elabores perfiles a partir de los cuáles se tomen decisiones que produzcan efectos jurídicos sobre los clientes o usuarios
cuando realices tratamientos de datos sensibles pero a gran escala
cuando realices una observación a gran escala de una zona de acceso público
Puedes considerar que un tratamiento se hace a gran escala teniendo en cuenta:
el número de clientes o usuarios afectados
el volumen de datos y la variedad de los mismos
la duración o permanencia de la actividad de tratamiento
la extensión geográfica de la actividad de tratamiento
El Reglamento General de Protección de datos (RGPD), prevé que la Agencia de Protección de Datos o los órganos competentes de las Comunidades Autónomas, elaboren listas sobre el tipo de operaciones de tratamiento que requerirán o no evaluación de impacto.
¿Cuántas evaluaciones hay que realizar?
Aunque la norma general sería que hicieses una evaluación por tratamiento, es posible, realizar una única para varios tratamientos que sea similares y que supongan también riesgos similares.
También tienes que tener en cuenta, que será necesario realizar una nueva evaluación de impacto cuando hayan cambiado las condiciones del tratamiento o varíen los riesgos o consecuencias derivadas de su aplicación.
Podrás solicitar el asesoramiento del delegado de protección de datos si éste ha sido nombrado para realizar la evaluación de impacto.
¿Qué ocurre si de tu evaluación se deduce un alto riesgo?
En estos casos el Reglamento General de Protección de Datos (RGPD) exige que realices una consulta previa a la Agencia de Protección de datos u organismos competente de las respectivas Comunidades Autónomas.
Así en esta consulta se detectara que con el tratamiento no se cumplen las exigencias legales, ni se hubiera identificado qué produce el riesgo y hubiera soluciones por parte del responsable del fichero o del tratamiento, en el plazo de 8 semanas desde la presentación de la consulta, se te deberá asesorar por escrito, a ti como responsable y también al encargado del tratamiento. Si el problema fuera complejo se podrá prorrogar el plazo seis semanas más.
En esta consulta deberás enviar la siguiente información:
cuáles son las responsabilidades del responsables y de los encargados del tratamiento, sobre todo si forman parte de un grupo de empresas
cuáles son los fines y medios para el tratamiento que se va a realizar
cuáles son las medidas y garantías que se han tomado para proteger los derechos de los clientes o usuarios
los datos de contacto del delegado de protección de datos
la evaluación de impacto realizada
otra información que pudiera solicitar la Agencia Española de Protección de Datos u organismo competente de la respectiva Comunidad Autónoma
¿Cuándo es no es obligatoria la realización de una evaluación de impacto?
La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos aunque,estar incluido en este listado, no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos.
Como no podía ser de otra manera, queda excluida de esta obligación cualquier tratamiento de datos en los que
estos no sean de carácter personal. Los tratamiento exentos de realizar una EIPD son:
Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado
Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las
medidas y salvaguardas definidas en la EIPD
Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD
Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes
Tratamientos realizados por comunidades y subcomunidades de propietarios
Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles
Tiempo estimado de lectura: 3 min
Visitas: 41