El reglamento (UE) 2016/679 del Parlamento Europeo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos, busca crear un espacio de libertad, seguridad y justicia donde se respete el derecho fundamental de las personas por la protección de datos de carácter personal. Y aunque entró en vigor en mayo de 2016, no ha sido hasta 2 años después, mayo de 2018, cuando se ha vuelto de obligada aplicación.
Al fin de mejorar el cumplimiento de dicho reglamento se crearon nuevas figuras y procesos dentro del ordenamiento europeo; como es el caso de la evaluación de impacto en la protección de datos.
¿Qué es?
La evaluación de Impacto del RGPD es, básicamente, un análisis de los riesgos que puede suponer en el derecho a la protección de datos de los usuarios, un determinado sistema de información, producto o servicio.
¿Para qué sirve?
La evaluación de Impacto del RGPD nace con la intención de mejorar el cumplimiento de la presente normativa en los casos en los que es posible que las operaciones de tratamiento de datos puedan dar lugar a un riesgo para los derechos y libertades de las personas físicas.
El encargado de la realización de la evaluación de impacto será el responsable de la evaluación, en la que se redacte el origen, la naturaleza, la particularidad y la gravedad del riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se planteen las medidas adecuadas que deben tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento.
En el hipotético caso de que la evaluación de impacto de protección de datos refleje “brechas de seguridad” incontrolables, es decir, riesgos que el responsable no puede resolver con medidas adecuadas, éste deberá consultar a la autoridad de control pertinente antes del tratamiento.
¿Cuándo debe realizarse?
No siempre será necesaria la evaluación de Impacto que recoge la RGPD, aunque recomendamos que a la hora de realizar un nuevo tratamiento se analicen los riesgos que puede desencadenar el mismo.
Sin embargo, la regulación establece unos supuestos obligatorios para la redacción de una evaluación de impacto:
Evaluación Sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar
tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
observación sistemática a gran escala de una zona de acceso público.
¿Qué debe contener?
La evaluación del Impacto del RGPD deberá incluir en su redacción:
Una descripción de las operaciones de tratamiento que se prevén sistemática y sus fines, así como, cuando sea necesario, el interés legítimo perseguido por el responsable del tratamiento.
una valoración de la necesidad de las operaciones de tratamiento con respecto a su finalidad.
una evaluación de los peligros que pueden ocasiones en los derechos y libertades de las personas en cuanto a la protección de datos.
aquellas medidas que se llevarán a cabo en el caso de que se produzcan riesgos, incluida las garantías, medidas de seguridad y mecanismo que garanticen la protección de datos personales.
Si tienes dudas sobre la elaboración de la evaluación de impacto que crea el RGPD, no dudes en ponerte en contacto con LexProDatos ¡¡ Podemos ayudarte!!