Evaluación de impacto

En determinados casos una organización está obligada a realizar una evaluación de impacto relativa a la protección de datos antes de poder poner en marcha una actividad que implique tratar datos personales.

Es una tarea compleja, que debe desarrollarse siguiendo una metodología previamente definida y quedar perfectamente documentada ya que, dependiendo de su resultado, se va a tener que presentar a la correspondiente autoridad de control.

En Derecho.com aplicamos metodologías validadas por autoridades de control para la realización de evaluaciones de impacto, lo que nos permite ofrecer las máximas garantías a nuestros clientes.

Solicitar presupuesto

  1. ¿Está obligada mi organización a realizar una evaluación de impacto?

    Será necesario realizar una evaluación de impacto en los siguientes casos:

    Primer nivel: Cuando el tratamiento proyectado esté incluido en alguna de las listas publicadas a que hacen mención los artículos 35.4 (tratamientos que sí requieren realizar una evaluación de impacto) y 35.5 (tratamientos que no requieren realizar una evaluación de impacto) del RGPD.

    Segundo nivel: Si el tratamiento proyectado no aparece en ninguna de las listas anteriores, habrá que ver si el mismo está incluido en alguno de los tres supuestos previstos por el artículo 35.3 del RGPD:

    1. Cuando la operación de tratamiento, de carácter automatizado, implica llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas, por tanto incluyendo la elaboración de perfiles, y especialmente, si en base al resultado del tratamiento se toman decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectar significativamente a la persona.
    2. Para el tratamiento a gran escala de las denominadas categorías especiales de datos, previstas en el art. 9.1 del RGPD, es decir: el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física; así como los datos relativos a condenas e infracciones penales.
    3. Para la observación sistemática a gran escala de áreas de acceso público.

    Tercer nivel: Si el tratamiento proyectado tampoco se encuentra entre los tres supuestos anteriores, habrá que realizar un análisis basado en lo previsto en el artículo 35.1 del RGPD, tomando en cuenta el criterio previsto por el Grupo de Trabajo del artículo 29 en sus Directrices sobre la evaluación del impacto en la protección de datos y de cuando el tratamiento es susceptible de dar lugar a un riesgo elevado (WP 248).

    Sólo tras realizar los tres niveles de análisis anteriormente vistos podrá determinarse si un tratamiento proyectado requiere de una evaluación de impacto.

  2. ¿Qué consecuencias tiene el hecho de no realizar la evaluación de impacto cuando se está obligado a ello?

    Si, estando obligada a ello, una organización no lleva a cabo la evaluación de impacto, el artículo 83.4.a) del RGPD prevé la imposición de una multa de hasta 10.000.000 de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por la de mayor cuantía.

    Además, es imposible calcular el daño reputacional que podría llegar a sufrir una organización en caso de, por ejemplo, producirse una violación de la seguridad de los datos personales por no haber implantado las medidas adecuadas.

  3. ¿Qué debe contener una evaluación de impacto?

    El artículo 37.5 del RGPD establece el siguiente contenido mínimo de una evaluación de impacto:

    1. Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
    2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
    3. una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el artículo 35.1 del RGPD, y
    4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
  4. ¿Cuándo debe mi organización empezar a realizar evaluaciones de impacto?

    Dicha obligación debe aplicarse a los tratamientos iniciados a partir del 25 de mayo de 2018 (fecha de aplicación del RGPD).

    También debería aplicarse a todos aquellos tratamientos iniciados después de mayo de 2016 (fecha de entrada en vigor del RGPD) y que se prolonguen más allá del 25 de mayo de 2018.

    Finalmente, en relación a los tratamientos iniciados antes de mayo de 2016 constituye una buena práctica el determinar si precisan o una de una evaluación de impacto y, en caso afirmativo, llevarla a cabo no más allá del 25 de mayo de 2021.