UNIR Revista
La EIPD es una de las novedades que introdujo el Reglamento General de Protección de Datos (RGPD) cuando entró en vigor en 2018.
La EIPD o Evaluación de Impacto de Protección de Datos es una herramienta que permite evaluar los potenciales riesgos a los que se exponen los datos personales según las actividades de tratamiento que se realicen con ellos. Tal y como explica la Agencia Española de Protección de Datos, este análisis permite al profesional responsable del tratamiento de datos identificar riesgos y tomar las medidas necesarias y eficaces para eliminarlos o, al menos, atenuarlos.
La EIPD es una de las novedades que introdujo el Reglamento General de Protección de Datos (RGPD) cuando entró en vigor en 2018 y su objetivo es medir el nivel de riesgo que un uso o tratamiento de los datos aportados a un servicio supone para los derechos y libertades de las personas. Es un procedimiento que permite detectar amenazas y riesgos, evaluar su riesgo de materialización y el impacto que tendría sobre los titulares de los datos.
¿Qué debe incluir y cuándo se debe realizar la evaluación?
El RGPD establece que una evaluación de impacto de protección de datos debe incluir, como mínimo:
- Una descripción sistemática de la actividad de tratamiento que afectará a los datos protegidos.
- Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
- La evaluación de los riesgos que supone ese tratamiento.
- Las medidas previstas para afrontar los riesgos, lo que incluye las garantías, las medidas de seguridad y los mecanismos que garanticen la protección de datos personales.
El RGPD establece en su artículo 35, apartado 1, la necesidad de realizar una evaluación de impacto cuando sea probable que un tipo de tratamiento, sobre todo si es mediante nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
En este caso, el responsable de tratamiento realizará, antes del tratamiento, una evaluación de impacto para detectar riesgos e implementar las medidas de control pertinentes, y en concreto en los siguientes casos, de acuerdo con lo establecido en el apartado 3 del citado art. 35 RGPD:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Tratamiento a gran escala de las categorías especiales de datos como son el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos o relativos a la salud, vida sexual u orientación de una persona física, o los relativos a condenas e infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público.
Como apunte, para valorar si un tratamiento se realiza a gran escala, se tiene en cuenta el número de personas afectadas, el volumen de datos y su variedad, la duración de la actividad de tratamiento y la extensión geográfica de la actividad.
Además, la intención del RGPD es que la EIPD se entienda como un proceso de mejora continua, por lo que siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento será necesario plantear una nueva evaluación para revisar los controles y plantear medidas adicionales. Ante cambios no significativos, igualmente será necesario dejar registrada la valoración y decisión de no implementar medidas de control adicionales.
¿Quién debe realizar una EIPD?
La evaluación de impacto debe realizarla el responsable del tratamiento, con el apoyo y colaboración del encargado del tratamiento, si lo hubiese, y, en su caso, con el delegado de protección de datos. Además, durante el procedimiento se puede solicitar la participación de los responsables de otras áreas de la organización implicadas en el tratamiento de datos, como puede ser el encargado de la seguridad, el área de asesoría jurídica o de tecnología, entre otros.
Aunque la obligación corresponda al responsable de tratamiento, el proceso de evaluación en sí lo puede realizar personal interno o externo a la organización, garantizando que se realice de forma adecuada y que se implanten los controles que determine la evaluación.
La importancia de especializarse en Derecho Digital
El impacto de Internet y de la tecnología en las distintas esferas de la vida de una persona, tanto física como jurídica, ha impulsado el desarrollo del Derecho Digital para evitar la vulneración de los derechos en el plano virtual. Así, se hace cada vez más necesario contar con un experto en esta rama jurídica que pueda asesorar de forma adecuada en materias como el comercio electrónico, el tratamiento de datos personales, las necesidades que impone el compliance o la prevención de la ciberdelincuencia.
Los abogados que estén ya ejerciendo la profesión o los graduados en Derecho que quieran especializarse en esta área pueden optar por realizar un posgrado como el Máster en Derecho Digital de UNIR. El objetivo de este programa es ayudar a que los alumnos profundicen en materias vinculadas a la Innovación Jurídica Digital y permitirles adquirir las habilidades, herramientas y conocimientos necesarios para acceder áreas profesionales ligadas con la privacidad y compliance, el asesoramiento legal para la transformación de industrias y la prevención de la ciberdelincuencia, entre otras.
Otra titulación directamente relacionada con la EIPD y de interés para todas aquellas personas en busca de especialización es el Máster en Protección de Datos.