LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS. ¿UNA OBLIGACION PARA LOS ABOGADOS?

LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS.

¿UNA OBLIGACION PARA LOS ABOGADOS?

El artículo 35 del Reglamento General de Protección de Datos impone la obligación a los responsables del tratamiento de datos de carácter personal de realizar una evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

¿Qué es una Evaluación de impacto relativa a la protección de datos?

La Evaluación de impacto relativa a la protección de datos es un proceso de análisis y estudio que debe realizar el responsable del tratamiento, con carácter preventivo, para poder identificar, evaluar y gestionar los riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con el objetivo de garantizar los derechos y libertades de las personas físicas.

La Evaluación de impacto relativa a la protección de datos permite conocer el nivel de riesgo que entraña un tratamiento, con el objetivo de fijar las medidas de control y seguridad más adecuadas para reducir los riesgos generados por el tratamiento hasta el mínimo posible.

La evaluación de impacto deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

¿Cuándo es obligatorio realizar la Evaluación de impacto relativa a la protección de datos?

La Evaluación de impacto relativa a la protección de datos no es exigible para todos los tratamientos ni para todos los responsables.

El Reglamento General de Protección de Datos establece que se requerirá la realización de la Evaluación de impacto relativa a la protección de datos cuando el tratamiento «entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas» y en particular en los casos de:

1.- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, especialmente de aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias  o  intereses  personales,  la  fiabilidad  o  el  comportamiento,  la  situación  o  los movimientos  del  interesado y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

2.- Tratamiento a gran escala de las categorías especiales de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o de los datos personales relativos a condenas e infracciones penales.

El Reglamento General de Protección de Datos no fija el concepto de “tratamiento a gran escala “, por lo que, para determinar si  el tratamiento se realiza a gran escala, hay que tener en consideración:

a.  el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

b.  el volumen de datos o la variedad de elementos de datos distintos que se procesan;

c.  la duración, o permanencia, de la actividad de tratamiento de datos;

d.  el alcance geográfico de la actividad de tratamiento.

3.-  Observación sistemática a gran escala en espacios públicos, incluidos los datos recogidos a través de cámaras y redes en los que los datos personales pueden ser recogidos en circunstancias en las que los interesados pueden no ser conscientes de quién está recopilando sus datos y cómo se usarán, y en los que en ocasiones puede resultar imposible para los interesados evitar que sus datos personales sean objeto de tratamiento.

Listas de tratamientos que requieren una evaluación de impacto relativa a la protección de datos

El Reglamento General de Protección de Datos establece que las autoridades de control de los estados miembros de la Unión Europea publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

Igualmente establece que las autoridades de control de los estados podrán establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

Listas de tratamientos que requieren y que no requieren la realización de evaluación de impacto relativa a la protección de datos publicadas por la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos ha publicado una lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos en la que ha establecido que será necesario realizar una evaluación de impacto relativa a la protección de datos en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren su realización. La opinión de la Agencia es que cuantos más criterios reúna el tratamiento mayor será el riesgo que entrañe y mayor será la certeza de la necesidad de realizar una evaluación de impacto relativa a la protección de datos

Los criterios son:

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos. 

2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato. 

3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y  metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc. 

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del Reglamento General de Protección de Datos (datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del Reglamento General de Protección de Datos  o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.  

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física. 

6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin. 

7. Tratamientos que impliquen el uso de datos a gran escala.

8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos. 

9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia. 

10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas. 

11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 del Reglamento General de Protección de Datos.

De igual forma la Agencia Española de Protección de Datos ha publicado la lista  orientativa  de  tipos  de  tratamientos  que  no  requieren  una evaluación  de  impacto  relativa  a  la  protección  de  datos, que incluye los siguientes:

1.  Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

2.  Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.

3.  Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.  

4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.

5.  Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.

6.  Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.

7.  Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del Reglamento General de Protección de Datos y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y LOS ABOGADOS

Conforme a lo expuesto puede concluirse que los abogados que ejerzan como profesionales por cuenta propia y de forma individual no están obligados a realizar una evaluación de impacto relativa a la protección de datos como norma general,  salvo que en los tratamientos que realicen cumplan con dos o más de los criterios indicados en la lista de tratamientos que requieren la realización de la evaluación de impacto publicada por la Agencia Española de Protección de Datos.

En los casos de ejercicio colectivo o bajo formas societarias de cualquier tipo, la necesidad u obligación de realizar la evaluación de impacto ha de determinarse en cada caso analizando la concurrencia de los criterios fijados en la lista de tratamientos que precisan de la realización de evaluación de impacto, sin que se pueda considerarse que la norma general sea la exclusión de la obligación.

Antonio Luis Barrera Ortega. Abogado. Delegado de Protección de Datos

EL DELEGADO DE PROTECCION DE DATOS

¿Qué es un Delegado de Protección de Datos?

¿Cuáles son sus funciones?

¿Quién puede ser delegado de protección de datos?

¿Qué estatus tiene? 

¿En qué casos es necesario nombrarlo?

¿Qué puede pasar si no se nombra el delegado de protección de datos cuando sea necesario?

El delegado de protección de datos es una figura novedosa que aparece por primera vez en la normativa sobre protección de datos personales en el Reglamento General de Protección de Datos Europeo.

Mucho se ha hablado y publicado sobre esta figura desde la publicación en mayo de 2016 del Reglamento General de Protección de Datos y muchas son las dudas que han surgido sobre sus funciones y sobre la obligatoriedad de su nombramiento por los responsables y encargados del tratamiento de datos personales.

A continuación, damos respuesta a las preguntas más comunes sobre esta figura.

¿Qué es un Delegado de Protección de Datos?

El delegado de protección de datos es una persona que se encarga de informar y asesorar al responsable o el encargado del tratamiento sobre las obligaciones que le imponen la normativa de protección de datos y se encarga de supervisar el cumplimiento de la normativa por el responsable o el encargado del tratamiento y su organización.

¿Cuáles son las funciones del delegado de protección de datos?

El delegado de protección de datos tiene que desarrollar respecto del responsable o el encargado del tratamiento de datos personales las siguientes funciones:

a)   informar y asesorar en el cumplimiento de las obligaciones que les imponen la normativa de protección de datos.
b)  supervisar el cumplimiento de la normativa de protección de datos
c) concienciar y formar al personal que participa en las operaciones de tratamiento.
d) asesorar en la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
e)  cooperar con la autoridad de control;
d)   actuar como punto de contacto entre la autoridad de control y el responsable del tratamiento.
f)  atender las peticiones de los interesados en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.

¿Quién puede ser delegado de protección de datos?

Puede ser delegado de protección de datos todo aquel que disponga de conocimientos especializados del Derecho y la práctica en materia de protección de datos y de cualidades profesionales y capacidad para desempeñar las funciones propias del delegado de protección de datos.

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o ser contratado como profesional externo con relación de contrato de servicios.

¿Qué estatus tiene el delegado de protección de datos dentro de la organización del responsable o del encargado del tratamiento?

El delegado de protección de datos responde de su actuación directamente al más alto nivel jerárquico del responsable o encargado del tratamiento y actúa de forma independiente y sin recibir instrucciones en lo que respecta al desempeño de sus funciones.

El delegado de protección de datos no puede ser destituido ni sancionado por el responsable o el encargado del tratamiento con motivo del desempeño de sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio.

¿Qué responsables o encargados del tratamiento de datos personales tienen que nombrar un delegado de protección de datos?

No todos los responsables y encargados de tratamientos de datos personales tienen obligación de nombrar un delegado de protección de datos.

Tiene que nombrarse en los siguientes casos:

a)   Cuando el responsable del tratamiento sea una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

b)  Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que afecten a una importante cantidad de interesados.

c)  Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales, tales como origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, datos relativos a la vida sexual o las orientaciones sexuales de una persona física o de datos relativos a condenas e infracciones penales.

En todo caso deben nombrar un delegado de protección de datos:

a)  Los colegios profesionales y sus consejos generales.
b)  Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica de Educación y las Universidades.
c)  Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.
d)  Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e)  Los bancos, las cajas de ahorros, las cooperativas de crédito y el Instituto de Crédito Oficial.
f)  Los establecimientos financieros de crédito.
g)  Las entidades aseguradoras y reaseguradoras.
h)  Las empresas de servicios de inversión.
i)  Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural
j)  Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros de prevención del blanqueo de capitales y de la financiación del terrorismo.
k)  Las entidades que desarrollen actividades de publicidad y prospección comercial.
l)  Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
m)  Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n)  Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
ñ) Las empresas de seguridad privada y los despachos de detectives privados.

¿Qué puede pasar si no se nombra el delegado de protección de datos cuando sea necesario?

El incumplimiento de la obligación del nombramiento del delegado de protección de datos cuando resulte necesario es considerado una infracción que puede ser sancionado con multas administrativas de 10.000.000 de euros como máximo o, si se el responsable o encargado del tratamiento es una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Puede descargar este artículo aquí:

 

EL-DELEGADO-DE-PROTECCION-DE-DATOS-DPD