Las Autoridades de Control han publicado los listados orientativos de los tipos de tratamientos que requieren una evaluación de impacto relativa a la protección de datos

La Evaluación de Impacto de Protección de Datos (en adelante, el AIPD) es una herramienta de carácter preventivo que debe realizar el responsable del tratamiento con carácter previo a la puesta en marcha de un tratamiento de datos que comporte un alto riesgo por los derechos y libertades de los interesados ​​o en aquellos tratamientos de datos iniciados con anterioridad a la fecha de aplicación del Reglamento (UE) 679/2016, de Protección de datos Personales (RGPD), cuando el resultado del análisis de riesgos indique que el tratamiento presenta un alto riesgo para los derechos y libertades de los interesados, según la normativa, el riesgo se verá aumentado cuando se utilicen nuevas tecnologías.

El objetivo de la AIPD es poder identificar, evaluar y gestionar los riesgos a que están expuestas sus actividades de tratamiento, con el fin de preservar los derechos y libertades de las personas físicas. Esta obligación está en consonancia con el principio de privacidad, que contempla analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad.
 

En qué casos se debe realizar una IPAD?

Para determinar la obligatoriedad de realizar una AIPD hay que valorar si la actividad de tratamiento se incluye en uno de los siguientes supuestos definidos en el artículo 35 del RGPD:

 

  • Evaluación sistemática y exhaustiva de aspectos personales de una persona física, como la elaboración de perfiles.
  • Tratamientos a gran escala de datos de categorías especiales o relativas a condenas o infracciones penales.
  • Observación sistemática a gran escala de una zona de acceso público.
  • Las Autoridades de Control publicarán un listado de los tipos de operaciones de tratamiento que requieran AIPD. Recientemente, la Autoridad Catalana de Protección de Datos (APDCAT) y la Autoridad de Protección de Datos (AEPD) han publicado el listado de tipos de tratamientos de datos que requieren AIPD, basándose en los nueve criterios definidos en las « Directrices sobre Evaluación de Impacto en materia de protección de datos del Grupo del artículo 29 WP 248 «, el listado complementa los nueve criterios y añade dos más. Las Autoridades definen que será necesario realizar una AIPD cuando cumplan con dos o más criterios del siguiente listado orientativo:
  1. Tratamientos que impliquen perfilado o valoración de sujetos en todos los ámbitos de la vida del interesado.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de estas decisiones, incluyendo cualquier tipo de decisión que impida a un interesado ejercer un derecho o tener acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos, datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con fines distintos o por responsables diferentes.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías en una nueva escala, con un nuevo objetivo o combinadas con otras, de manera que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Tratamientos de datos que impidan a los interesados ​​ejercer sus derechos, utilizar un servicio o ejecutar un contrato, tales como tratamientos en que los datos han sido recopilados por un responsable diferente al que los va a tratar y es de aplicación alguna de las excepciones sobre la información que se debe proporcionar a los interesados ​​según el artículo 14.5 (b, c, d) del RGPD.

 

Puede revisar los listados publicados en los siguientes links que redirigen a los sitios web de las Autoridades de control:

Lista DPIA

Listado AEPD

 

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies