LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS. ¿UNA OBLIGACION PARA LOS ABOGADOS?

LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS.

¿UNA OBLIGACION PARA LOS ABOGADOS?

El artículo 35 del Reglamento General de Protección de Datos impone la obligación a los responsables del tratamiento de datos de carácter personal de realizar una evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

¿Qué es una Evaluación de impacto relativa a la protección de datos?

La Evaluación de impacto relativa a la protección de datos es un proceso de análisis y estudio que debe realizar el responsable del tratamiento, con carácter preventivo, para poder identificar, evaluar y gestionar los riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con el objetivo de garantizar los derechos y libertades de las personas físicas.

La Evaluación de impacto relativa a la protección de datos permite conocer el nivel de riesgo que entraña un tratamiento, con el objetivo de fijar las medidas de control y seguridad más adecuadas para reducir los riesgos generados por el tratamiento hasta el mínimo posible.

La evaluación de impacto deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

¿Cuándo es obligatorio realizar la Evaluación de impacto relativa a la protección de datos?

La Evaluación de impacto relativa a la protección de datos no es exigible para todos los tratamientos ni para todos los responsables.

El Reglamento General de Protección de Datos establece que se requerirá la realización de la Evaluación de impacto relativa a la protección de datos cuando el tratamiento «entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas» y en particular en los casos de:

1.- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, especialmente de aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias  o  intereses  personales,  la  fiabilidad  o  el  comportamiento,  la  situación  o  los movimientos  del  interesado y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

2.- Tratamiento a gran escala de las categorías especiales de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o de los datos personales relativos a condenas e infracciones penales.

El Reglamento General de Protección de Datos no fija el concepto de “tratamiento a gran escala “, por lo que, para determinar si  el tratamiento se realiza a gran escala, hay que tener en consideración:

a.  el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

b.  el volumen de datos o la variedad de elementos de datos distintos que se procesan;

c.  la duración, o permanencia, de la actividad de tratamiento de datos;

d.  el alcance geográfico de la actividad de tratamiento.

3.-  Observación sistemática a gran escala en espacios públicos, incluidos los datos recogidos a través de cámaras y redes en los que los datos personales pueden ser recogidos en circunstancias en las que los interesados pueden no ser conscientes de quién está recopilando sus datos y cómo se usarán, y en los que en ocasiones puede resultar imposible para los interesados evitar que sus datos personales sean objeto de tratamiento.

Listas de tratamientos que requieren una evaluación de impacto relativa a la protección de datos

El Reglamento General de Protección de Datos establece que las autoridades de control de los estados miembros de la Unión Europea publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

Igualmente establece que las autoridades de control de los estados podrán establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

Listas de tratamientos que requieren y que no requieren la realización de evaluación de impacto relativa a la protección de datos publicadas por la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos ha publicado una lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos en la que ha establecido que será necesario realizar una evaluación de impacto relativa a la protección de datos en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren su realización. La opinión de la Agencia es que cuantos más criterios reúna el tratamiento mayor será el riesgo que entrañe y mayor será la certeza de la necesidad de realizar una evaluación de impacto relativa a la protección de datos

Los criterios son:

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos. 

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato. 

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y  metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc. 

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del Reglamento General de Protección de Datos (datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del Reglamento General de Protección de Datos  o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.  

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física. 

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin. 

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos. 

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia. 

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas. 

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 del Reglamento General de Protección de Datos.

De igual forma la Agencia Española de Protección de Datos ha publicado la lista  orientativa  de  tipos  de  tratamientos  que  no  requieren  una evaluación  de  impacto  relativa  a  la  protección  de  datos, que incluye los siguientes:

1.  Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

2.  Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.

3.  Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.  

4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.

5.  Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.

6.  Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.

7.  Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del Reglamento General de Protección de Datos y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y LOS ABOGADOS

Conforme a lo expuesto puede concluirse que los abogados que ejerzan como profesionales por cuenta propia y de forma individual no están obligados a realizar una evaluación de impacto relativa a la protección de datos como norma general,  salvo que en los tratamientos que realicen cumplan con dos o más de los criterios indicados en la lista de tratamientos que requieren la realización de la evaluación de impacto publicada por la Agencia Española de Protección de Datos.

En los casos de ejercicio colectivo o bajo formas societarias de cualquier tipo, la necesidad u obligación de realizar la evaluación de impacto ha de determinarse en cada caso analizando la concurrencia de los criterios fijados en la lista de tratamientos que precisan de la realización de evaluación de impacto, sin que se pueda considerarse que la norma general sea la exclusión de la obligación.

Antonio Luis Barrera Ortega. Abogado. Delegado de Protección de Datos