LA
EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS.
¿UNA OBLIGACION PARA LOS ABOGADOS?
El
artículo 35 del Reglamento General de Protección de Datos impone la obligación
a los responsables del tratamiento de datos de carácter personal de realizar
una evaluación de impacto relativa a la protección de datos cuando sea probable
que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos
y libertades de las personas físicas.
¿Qué
es una Evaluación de impacto relativa a la protección de datos?
La
Evaluación de impacto relativa a la protección de datos es un proceso de análisis
y estudio que debe realizar el responsable del tratamiento, con carácter
preventivo, para poder identificar, evaluar y gestionar los riesgos a los que
están expuestos los datos personales en función de las actividades de
tratamiento que se llevan a cabo con el objetivo de garantizar los derechos y
libertades de las personas físicas.
La
Evaluación de impacto relativa a la protección de datos permite conocer el
nivel de riesgo que entraña un tratamiento, con el objetivo de fijar las
medidas de control y seguridad más adecuadas para reducir los riesgos generados
por el tratamiento hasta el mínimo posible.
La
evaluación de impacto deberá incluir como mínimo:
a)
una descripción sistemática de las operaciones de tratamiento previstas y de
los fines del tratamiento, inclusive, cuando proceda, el interés legítimo
perseguido por el responsable del tratamiento;
b)
una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;
c)
una evaluación de los riesgos para los derechos y libertades de los
interesados, y
d)
las medidas previstas para afrontar los riesgos, incluidas garantías, medidas
de seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas
afectadas.
¿Cuándo
es obligatorio realizar la Evaluación de impacto relativa a la protección de
datos?
La
Evaluación de impacto relativa a la protección de datos no es exigible para
todos los tratamientos ni para todos los responsables.
El
Reglamento General de Protección de Datos establece que se requerirá la
realización de la Evaluación de impacto relativa a la protección de datos
cuando el tratamiento «entrañe probablemente un alto riesgo para los derechos y
libertades de las personas físicas» y en particular en los casos de:
1.-
Evaluación sistemática y exhaustiva de aspectos personales de personas físicas
que se base en un tratamiento automatizado, como la elaboración de perfiles, especialmente
de aspectos relacionados con el rendimiento en el trabajo, la situación
económica, la salud, las preferencias
o intereses personales,
la fiabilidad o
el comportamiento, la
situación o los movimientos del
interesado y sobre cuya base se tomen decisiones que produzcan efectos
jurídicos para las personas físicas o que les afecten significativamente de
modo similar;
2.-
Tratamiento a gran escala de las categorías especiales de datos que revelen el origen étnico o racial, las opiniones políticas,
las convicciones religiosas o filosóficas, o la afiliación sindical, y el
tratamiento de datos genéticos, datos biométricos dirigidos a identificar de
manera unívoca a una persona física, datos relativos a la salud o datos
relativos a la vida sexual o la orientación sexual de una persona física,
o de los datos personales relativos a condenas e infracciones penales.
El
Reglamento General de Protección de Datos no fija el concepto de “tratamiento a
gran escala “, por lo que, para determinar si
el tratamiento se realiza a gran escala, hay que tener en consideración:
a. el número de interesados afectados, bien como
cifra concreta o como proporción de la población correspondiente;
b. el volumen de datos o la variedad de
elementos de datos distintos que se procesan;
c. la duración, o permanencia, de la actividad
de tratamiento de datos;
d. el alcance geográfico de la actividad de
tratamiento.
3.-
Observación sistemática a gran escala en
espacios públicos, incluidos los datos recogidos a través de cámaras y redes en
los que los datos personales pueden ser recogidos en circunstancias en las que
los interesados pueden no ser conscientes de quién está recopilando sus datos y
cómo se usarán, y en los que en ocasiones puede resultar imposible para los
interesados evitar que sus datos personales sean objeto de tratamiento.
Listas
de tratamientos que requieren una evaluación de impacto
relativa a la protección de datos
El
Reglamento General de Protección de Datos establece que las autoridades de
control de los estados miembros de la Unión Europea publicarán una lista de los
tipos de operaciones de tratamiento que requieran una evaluación de impacto
relativa a la protección de datos.
Igualmente
establece que las autoridades de control de los estados podrán establecer y
publicar la lista de los tipos de tratamiento que no requieren evaluaciones de
impacto relativas a la protección de datos.
Listas de tratamientos que requieren y que
no requieren la realización de evaluación de impacto relativa a la protección
de datos publicadas por la Agencia Española de Protección de Datos.
La
Agencia Española de Protección de Datos ha publicado una lista de tipos de
tratamientos de datos que requieren evaluación de impacto relativa
a protección de datos en la que ha establecido que será necesario realizar
una evaluación de impacto relativa a la protección de datos en la mayoría de
los casos en los que dicho tratamiento cumpla con dos o más criterios de la
lista expuesta a continuación, salvo que el tratamiento se encuentre en la
lista de tratamientos que no requieren su realización. La opinión de la
Agencia es que cuantos más criterios reúna el tratamiento mayor será el riesgo
que entrañe y mayor será la certeza de la necesidad de realizar una evaluación
de impacto relativa a la protección de datos
Los
criterios son:
1.
Tratamientos que impliquen perfilado o valoración de sujetos, incluida la
recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el
trabajo, personalidad y comportamiento), que cubran varios aspectos de su
personalidad o sobre sobre sus hábitos.
2.
Tratamientos que impliquen la toma de decisiones automatizadas o que
contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier
tipo de decisión que impida a un interesado el ejercicio de un derecho o el
acceso a un bien o un servicio o formar parte de un contrato.
3.
Tratamientos que impliquen la observación, monitorización, supervisión,
geolocalización o control del interesado de forma sistemática y exhaustiva,
incluida la recogida de datos y
metadatos a través de redes, aplicaciones o en zonas de acceso público,
así como el procesamiento de identificadores únicos que permitan la
identificación de usuarios de servicios de la sociedad de la información como
pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
4.
Tratamientos que impliquen el uso de categorías especiales de datos a las que
se refiere el artículo 9.1 del Reglamento General de Protección de Datos (datos
que revelen el origen étnico o racial, las opiniones políticas,
las convicciones religiosas o filosóficas, o la afiliación sindical, y el
tratamiento de datos genéticos, datos biométricos dirigidos a identificar de
manera unívoca a una persona física, datos relativos a la salud o datos
relativos a la vida sexual o la orientación sexual de una persona física),
datos relativos a condenas o infracciones penales a los que se refiere el
artículo 10 del Reglamento General de Protección de Datos o datos que permitan determinar la situación
financiera o de solvencia patrimonial o deducir información sobre las personas
relacionada con categorías especiales de datos.
5.
Tratamientos que impliquen el uso de datos biométricos con el propósito de
identificar de manera única a una persona física.
6.
Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7.
Tratamientos que impliquen el uso de datos a gran escala.
8.
Tratamientos que impliquen la asociación, combinación o enlace de registros de
bases de datos de dos o más tratamientos con finalidades diferentes o por
responsables distintos.
9.
Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social,
incluyendo datos de menores de 14 años, mayores con algún grado de
discapacidad, discapacitados, personas que acceden a servicios sociales y
víctimas de violencia de género, así como sus descendientes y personas que
estén bajo su guardia y custodia.
10.
Tratamientos que impliquen la utilización de nuevas tecnologías o un uso
innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías
a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que
suponga nuevas formas de recogida y utilización de datos con riesgo para los
derechos y libertades de las personas.
11.
Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar
un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que
los datos han sido recopilados por un responsable distinto al que los va a
tratar y aplica alguna de las excepciones sobre la información que debe
proporcionarse a los interesados según el artículo 14.5 del Reglamento General
de Protección de Datos.
De
igual forma la Agencia Española de Protección de Datos ha publicado la
lista orientativa de
tipos de tratamientos
que no requieren
una evaluación de impacto
relativa a la
protección de datos, que incluye los siguientes:
1. Tratamientos que se realizan estrictamente
bajo las directrices establecidas o autorizadas con anterioridad mediante
circulares o decisiones emitidas por las Autoridades de Control, en particular
la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue
autorizado.
2. Tratamientos que se realizan estrictamente
bajo las directrices de códigos de conducta aprobados por la Comisión Europea o
las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa
haya sido realizada para la validación del código de conducta y el tratamiento
se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
3. Tratamientos que sean necesarios para el
cumplimiento de una obligación legal, cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al
responsable, siempre que en el mismo mandato legal no se obligue a realizar una
EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
4.
Tratamientos realizados en el ejercicio de su labor profesional por
trabajadores autónomos que ejerzan de forma individual, en particular médicos,
profesionales de la salud o abogados, sin perjuicio de que pueda requerirse
cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos
o más criterios establecidos en la lista de tipos de tratamientos de datos que
requieren evaluación de impacto relativa a protección de datos publicada por la
AEPD.
5. Tratamientos obligatorios por ley y
realizados con relación a la gestión interna del personal de las PYMES con
finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad
social y salud laboral, pero nunca relativos a los datos de los clientes.
6. Tratamientos realizados por comunidades y
subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d)
de la Ley 49/1960 de Propiedad Horizontal.
7. Tratamientos realizados por colegios
profesionales y asociaciones sin ánimo de lucro para la gestión de los datos
personales de sus propios asociados y donantes, y en el ejercicio de su labor,
siempre que no incluyan en el tratamiento de datos sensibles tales como los que
se establecen en el artículo 9.1 del Reglamento General de Protección de Datos
y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.
LA
EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y LOS ABOGADOS
Conforme
a lo expuesto puede concluirse que los abogados que ejerzan como profesionales
por cuenta propia y de forma individual no están obligados a realizar una
evaluación de impacto relativa a la protección de datos como norma general, salvo que en los tratamientos que realicen cumplan
con dos o más de los criterios indicados en la lista de tratamientos que
requieren la realización de la evaluación de impacto publicada por la Agencia
Española de Protección de Datos.
En
los casos de ejercicio colectivo o bajo formas societarias de cualquier tipo,
la necesidad u obligación de realizar la evaluación de impacto ha de determinarse
en cada caso analizando la concurrencia de los criterios fijados en la lista de
tratamientos que precisan de la realización de evaluación de impacto, sin que
se pueda considerarse que la norma general sea la exclusión de la obligación.
Antonio Luis Barrera Ortega. Abogado. Delegado de Protección de Datos