Tratamientos de Datos Personales que requieren una Evaluación de Impacto

Según el RGPD y su artículo 35, los Responsables de Tratamiento de Datos tienen la obligación de realizar una EIPD (Evalución de Impacto sobre Protección de Datos) con carácter previo a la puesta en funcionamiento los tratamientos de datos susceptibles de este EIPD, cuando por su naturaleza, alcance, contexto o fines se entiendan que puedan entrañar un peligro para los derechos y libertades de las personas físicas. Si estos tratamiento se llevan a cabo a través de nuevas tecnologías, serán además más susceptibles de provocar una alto riesgo en las personas y por tanto se deberán ver aplicado por el EIPD.

¿Cómo saber si los tratamientos de datos que lleva a cabo la empresa deben ser revisados por un EIPD?

En caso que el tratamiento cumpla con 2 o más criterios de la siguiente lista será muy probable que el Responsable de Tratamiento de Datos sea susceptible de realizar un EIPD para dicho tratamiento de datos en cuestión.

  • Se lleve a cabo el perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, sobre sobre sus hábitos y personalidad.
  • Toma de decisiones automatizadas o que provoquen la toma de tales decisiones, incluyendo las decisiones que impida al interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  • Se lleve a cabo la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  • Uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD.
  • Uso de datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD.
  • Uso de datos que permitan determinar la situación financiera o de solvencia patrimonial del interesado por medio de categorías especiales de datos.
  • Uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  • Uso de datos genéticos para cualquier fin.
  • Uso de datos a gran escala.
  • Se lleve a cabo la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  • Uso de datos de sujetos vulnerables o en riesgo de exclusión social.
  • Uso de datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como descendientes y personas que estén bajo su guardia y custodia.
  • Uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  • Uso de datos de forma que se impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Ojo: Esta lista es meramente ostentativa y no es exhaustiva.

En resumen y con carácter general, el RGPD establece en su artículo 35.3 que la EIPD se requerirá llevarla a cabo en estas situaciones específicas:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o la
  • Observación sistemática a gran escala de una zona de acceso público.