This post is also available in: enEnglish

¿Se exigirá a las organizaciones que lleven a cabo evaluaciones de impacto sobre la privacidad cuando realicen cualquier tipo de tratamiento de datos personales?

No. Las evaluaciones de impacto de privacidad o evaluaciones de impacto relativas a la protección de datos (“EIPD”) solo se requieren cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Se considerará que el tratamiento conlleva un riesgo si concurre alguno de los siguientes factores: automatización en la toma de decisiones relativas a las personas cuyos datos sean objeto de tratamiento; evaluación o puntuación de los interesados; seguimiento sistemático; uso de datos confidenciales; realización de tratamientos a gran escala; afectación a interesados vulnerables; ejecución de transferencias de datos fuera de la UE, etc.

En particular, se requerirá un EIPD cuando el tratamiento implique: (i) cualquier evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; (ii) tratamiento a gran escala las llamadas categorías “sensibles” de datos personales; o (iii) un monitoreo sistemático de un área de acceso público a gran escala. Además, se exige a la autoridad de control que establezca y publique una lista de los tipos de operaciones de tratamiento que requieran una EIPD, como ya ocurrió en Bélgica, por ejemplo.

Por el contrario, cuando el tratamiento no entrañe un riesgo alto para los derechos y libertades de las personas físicas, no se requerirá un EIPD. Asimismo, tampoco se requerirá EIPD en los siguientes escenarios: (i) cuando ya se haya realizado un EIPD para actividades de tratamiento muy similares; o (ii) cuando el tratamiento tenga una base legal en la UE o en el Derecho del Estado miembro y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica. Las autoridades nacionales de control también pueden constituir una lista enumerando los tipos de tratamiento para los cuales no se requiere EIPD.

Además, paralelamente, el Grupo de Trabajo del Artículo 29 ha aclarado que los EIPD únicamente serán necesarios para las operaciones de tratamiento iniciadas después de que el RGPD sea aplicable el 25 de mayo de 2018 o que cambie significativamente después de esa fecha. Asimismo, se recomienda, aunque sin carácter obligatorio, llevar a cabo una EIPD para operaciones de tratamiento ya en curso en cualquier momento antes de mayo de 2018, cuando haya un cambio en el riesgo representado por la operación de tratamiento o cuando el contexto organizacional o social de la actividad de tratamiento cambie.

 

This post is also available in: enEnglish

Autores:

Socio

40 artículos



albert.agustinoy@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *