A finales de octubre de 2014, os hablaba en un artículo sobre la privacidad desde el diseño y los planes de evaluación de impacto en materia de protección de datos y, os contaba, que pese a recomendarse por la Agencia Española de Protección de Datos llevar a cabo este tipo de planes ante proyectos que pudieran poner en riesgo la intimidad y privacidad del usuario, en España no era obligatorio, aunque si recomendable.
Pues bien, con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros de la Unión Europea y de obligado cumplimiento a partir del 25 de mayo de 2018, realizar planes de evaluación de impacto en materia de protección de datos pasa a ser obligatorio para algunos tratamientos de datos personales.
La Evaluación de impacto relativa a la protección de datos.
Los planes de Evaluación de impacto relativos a la protección de datos tienen como finalidad proteger la intimidad y privacidad del usuario. Así, cuando tenemos entre las manos un proyecto de negocio que tratará datos de personas físicas que, podrían correr riesgo por el tipo de dato del que se trate o que por la naturaleza del proyecto podría ponerse en riesgo la intimidad y privacidad del usuario y/o cliente, será necesario y obligatorio realizar una Evaluación de impacto relativo a la protección de datos.
La idea es evaluar el proyecto, los riesgos que entraña respecto a la vulneración de la intimidad y privacidad del usuario y decidir qué medidas de seguridad adoptar para proteger dichos datos personales. No se trata de impedir que los datos personales sean recogidos y tratados, sino de protegerlos y, por ende, proteger la intimidad y privacidad del titular de los mismos.
¿Cuándo será obligatorio realizar una Evaluación de impacto relativa a la protección de datos?
Según se recoge en el artículo 35.1 del nuevo Reglamento Europeo de Protección de Datos, será obligatorio realizar evaluaciones de impacto relativas a la protección de datos «cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas«.
Concretamente, el artículo 35.3. del citado Reglamento Europeo de Protección de Datos establece:
La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
¿Quién deberá realizar una Evaluación de impacto relativa a la protección de datos?
Deberá realizar la Evaluación de impacto relativa a la protección de datos el responsable del fichero, es decir, la empresa titular del proyecto objeto de evaluación y, para ello, deberá contar con el asesoramiento del Delegado de protección de datos.
Asimismo, el plan de evaluación de impacto relativo a la protección de datos, deberá realizarse antes de iniciar el tratamiento de dichos datos. Se trata en definitiva de seguir la línea de la «privacidad desde el diseño», es decir, diseñar el proyecto teniendo en cuenta la protección de los datos personales de los interesados desde un principio.
¿Qué información deberá incluir la Evaluación de impacto relativa a la protección de datos?
A esta pregunta, da respuesta el apartado 7 del artículo 35 del nuevo Reglamento Europeo de Protección de Datos, que establece:
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.