La CNIL publica la lista de tratamientos de Datos Personales para los que se requiere el análisis de una evaluación de impacto
El artículo 35.1 del Reglamento General de Protección de Datos establece la obligatoriedad por el responsable del tratamiento de realizar una evaluación de impacto cuando sea probable que el tipo de tratamiento de datos personales comporte un alto riesgo para los derechos y libertades de las personas físicas, ya sea por la utilización de nuevas tecnologías, por la naturaleza, alcance, contexto o incluso del tratamiento. El apartado 4 del mismo artículo prevé que la autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto referente a la protección de datos. Las autoridades de control que operan en nuestro territorio, Agencia Española de Protección de Datos y Autoritat Catalana de Protecció de Dades, a la fecha del presente artículo, no han publicado ninguna lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto.
La CNIL, Commission nationale de l’informatique et des libertés (Comisión Nacional de Informática y Libertades de Francia), que es la autoridad de control francesa en materia de protección de datos, publicó el pasado 6 de noviembre de 2018 la lista definitiva de los tratamientos para los que se requiere el análisis de una evaluación de impacto referente a la protección de datos, publicada en el JORF, Journal officiel de la République française (Diario Oficial de la República Francesa), el 6 de noviembre de 2018. Previamente a la publicación de la lista, se presentó en el Comité Europeo de Protección de Datos (CEPD) el proyecto de lista; el Comité Europeo informó a finales de septiembre una opinión sobre 22 listas de proyectos desarrollados por las autoridades nacionales de protección de datos, entre las que está incluida la lista francesa.
En base con el principio de coherencia entre los estados miembros de la UE, esta lista de tratamientos para los que se requiere el análisis de una evaluación de impacto publicada por la CNIL puede servir de criterio para los tratamientos realizados por los Responsables del tratamiento establecidos en nuestro territorio.
Se puede encontrar la documentación completa en el siguiente enlace.
Del listado publicado, destacamos en el cuadro siguiente los tratamientos de datos de salud que requerirán una evaluación de impacto referente a la protección de datos.
| Tipo de operaciones de tratamiento | Criterios de las directrices del CEPD que cumplen | Ejemplos |
|---|---|---|
| Proceso de datos sanitarios realizadas por establecimientos sanitarios o instituciones sociosanitarias para el cuidado de personas. | · Recopilación de datos sensibles. · Las llamadas «personas vulnerables». |
· Tratamientos sanitarios implementados por Establecimientos sanitarios (hospitales, clínicas, entre otros): archivos pacientes; algoritmos de decisión médica; sistemas de vigilancia Y gestión de riesgos; dispositivos de telemedicina; gestión de biología y farmacia médica para uso interior; etc. · Tratamiento relativo a los archivos de los residentes con el apoyo de un centro de acción social municipal o de un centro de atención residencial para personas mayores dependientes. |
| Tratamientos relacionados con datos genéticos de las llamadas personas «vulnerables» (pacientes, empleados, niños, etc.). | · Recopilación de datos sensibles. · Las llamadas «personas vulnerables». |
· Implementación de investigaciones médicas relacionadas con pacientes e incluyendo el tratamiento de sus datos genéticos. · Tratamiento utilizado para la gestión de una consulta genética en un centro de salud. |
| Tratamientos a efectos de la gestión de alertas y alertas en materia social y sanitaria. | · Las llamadas «personas vulnerables». · Evaluación o valoración. · Recopilación de datos sensibles. |
· Dispositivo para informar de menores en peligro. · Tratamiento utilizado por una agencia de salud para la gestión de una crisis sanitaria o alerta sanitaria. · Sistema para informar situaciones abusivas sobre personas vulnerables (personas mayores, personas con discapacidad, entre otros). |
| Tratamientos para datos de salud necesarios para construir un archivo o registro de datos. | · Recopilación de datos sensibles. · Las llamadas «personas vulnerables». |
Archivo de datos sanitarios implementado por un centro de salud o una persona privada, para servir a la investigación. |
| Tratamientos con fines de apoyo social o sociosanitarias para personas. | · Recopilación de datos sensibles. · Evaluación o valoración. · Las llamadas «personas vulnerables». |
· Tratamiento implementado por una institución o una asociación en el contexto del cuidado de personas en integración social o profesional o reintegración. · El tratamiento realizado por las casas departamentos de las personas con discapacidad como parte de la recepción, alojamiento, acompañamiento y seguimiento de estas personas. · Tratamiento implementado por un centro comunitario de acción social en el marco del seguimiento de personas con patologías crónicas inhabilitantes en situación de fragilidad social. |
@ Faura-Casas
Servicios
Faura-Casas es Miembro independiente de BKR International, una asociación global líder de contabilidad independiente y firmas de servicios a empresas, representando a más de 150 firmas con más de 300 oficinas en más de 70 países alrededor del mundo.
Contacto
Paseo de la Castellana, 123, 9º C. 28046 Madrid
