En este nuevo número de Breves de Regulación Digital analizamos el listado de tratamientos de datos que requieren de evaluación de impacto publicado por la Agencia Española de Protección de Datos (AEPD).
¿Qué son las evaluaciones de impacto?
El Reglamento General de Protección de Datos (RGPD) introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD) en su artículo 35. En este sentido, podemos definir una EIPD como un proceso concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
En este contexto, la Agencia Española de Protección de Datos (AEPD) ha elaborado un listado exhaustivo para completar los supuestos recogidos en el RGPD en los que se impone a los responsables del tratamiento cumplir con esta obligación.
Régimen jurídico de las Evaluaciones de Impacto
La EIPD se regulan en los considerandos 84 y siguientes, así como el citado artículo 35 del RGPD.
A estos efectos, el RGPD establece la obligación que tienen los responsables de los tratamientos de datos de realizar una EIPD con carácter previo a la puesta en funcionamiento de tales tratamientos cuando sea probable que éstos por su naturaleza, alcance, contexto o fines entrañen un alto riesgo para los derechos y libertades de las personas físicas.
Asimismo, es necesario señalar que el propio RGPD ya recoge una serie de supuestos en los que el responsable del tratamiento se encuentra obligado a llevar a cabo este proceso:
- a) Ante una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
- b) Ante tratamientos a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
- c) Ante la observación sistemática a gran escala de una zona de acceso público sin embargo, la lista incluida en el RGPD, si bien dota a los responsables del tratamiento de ciertas indicaciones sobre los supuestos en los que se deberá acometer una EIPD, la realidad es que la misma resulta insuficiente. Por ese motivo, el mismo articulo 35 establece que cada una de las autoridades de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.
Listado de supuestos de hecho de la AEPD
Siguiendo, pues, las indicaciones del legislador europeo, la AEPD ha optado por regular aquellos supuestos específicos en los que los responsables del tratamiento deberán realizar una EIPD.
En este sentido, el listado publicado por la AEPD establece que será necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con dos o más criterios de la lista, salvo que el tratamiento se encuentre en los supuestos de tratamiento que no requieren EIPD a los que se refiere el artículo 35.5 del RGPD. Así, cuantos más criterios reúna un tratamiento, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD:
1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
2. Tratamientos que supongan la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
3. Tratamientos que consistan la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
4. Tratamientos que con categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
6. Tratamientos mediante el uso de datos genéticos para cualquier fin.
7. Tratamientos que entrañen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
8. Tratamientos que supongan la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
10. Tratamientos que comporten la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b, c, d) del RGPD.
Es preciso señalar que el documento emitido por al AEPD no constituye un listado definitivo, ni cerrado de supuestos, por lo que podrán producirse supuestos de hecho que no se encuentre recogidos en dicha lista y que, tras la preceptiva evaluación objetiva del riesgo, requieran también de una EIPD.