Logo

NOTICIAS

10/06/2019

Evaluación de impacto: ¿Cuándo es necesario realizarla?

La Agencia Española de Protección de Datos (“AEPD”) ha publicado un listado de tratamientos de datos personales en los que es obligatorio llevar a cabo una evaluación de impacto, por entender que comprometen de forma más sensible la privacidad de los usuarios.

La evaluación de impacto, por su parte, consiste en un procedimiento a realizar por el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos que se producen o pueden producirse dentro de un proceso que implique el tratamiento de datos personales. Este procedimiento debe incluir, como mínimo, los siguientes extremos:

  • Una descripción sistemática de la actividad de tratamiento prevista.
  • Una evaluación de la necesidad y la proporcionalidad del tratamiento respecto a su finalidad.
  • Una evaluación de los riesgos.
  • Las medidas que prevé la empresa para afrontar tales riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

El Reglamento (UE) 2016/679 (“RGPD”) no incluye un listado de tratamientos que requieran una evaluación de impacto, sino una serie de parámetros que, en caso de cumplirse, implicarían la necesidad de llevar a cabo un procedimiento como el descrito. Sin embargo, la AEPD se ha pronunciado a este respecto, matizando que, en todo caso una serie de actividades requerirán necesariamente la elaboración de una evaluación de impacto.

Por su trascendencia e implicación en el tratamiento de los datos personales de los empleados, destacamos los siguientes:

  • Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sus hábitos.
  • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho, o el acceso a un bien o un servicio, o formar parte de un contrato.
  • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información, como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.

Por tanto, a partir de ahora, los tratamientos que se realicen en las empresas consistentes en la evaluación del desempeño de sus empleados, el control de acceso al centro de trabajo mediante huella dactilar o el tratamiento de datos que posibilite la geolocalización de los trabajadores exigirán la elaboración de una evaluación de impacto con carácter previo a su implantación.

En cualquier caso, ha de tenerse en cuenta que el listado de la AEPD no es exhaustivo, por lo que la evaluación seguirá siendo necesaria en muchos otros supuestos que, pese a no estar contemplados, pongan en riesgo los derechos y libertades de las personas físicas.

Si tiene cualquier duda respecto a la necesidad de realizar una evaluación de impacto o necesita ayuda para realizarla, no dude en ponerse en contacto con nosotros.

  • Icono facebook
  • Icono twitter
  • Icono google plus
  • Icono linkedin