La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo "antes del tratamiento" en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

Estos supuestos se encuentran contemplados en el artículo 35 del RGPD y son los siguientes:

• Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
• evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
• tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
• observación sistemática a gran escala de una zona de acceso público.

Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta (según el Grupo del Artículo 29, en relación con la designación de Delegados de Protección de Datos):

1. El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
2. El volumen de datos y la variedad de datos tratados
3. La duración o permanencia de la actividad de tratamiento
4. La extensión geográfica de la actividad de tratamiento

No, el mandato del RGPD no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que comience a ser de aplicación. Sin embargo, sí debiera realizarse una Evaluación cuando en una operación iniciada con anterioridad a la aplicación del Reglamento se hayan producido cambios en los riesgos que el tratamiento implica en relación con el momento en que el tratamiento se puso en marcha.

Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, o de que se estén recogiendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento.

El RGPD contiene un mandato al respecto, dirigido a las autoridades de control, consistente en que publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos, de conformidad con el apartado 1 del artículo 35.

Además, la autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. Ambas listas serán comunicadas al Comité Europeo de Protección de Datos.

En este sentido, el listado de tipos de tratamientos de datos que requieren evaluación de impacto elaborado por la AEPD se puede consultar en el siguiente enlace

En todo caso, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo y, en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

Como se ha dicho, el RGPD se basa en un principio de responsabilidad activa del responsable y es siempre en último extremo el responsable el que debe decidir qué medidas aplicar y cómo hacerlo. La intervención de las autoridades de supervisión o las previsiones del propio RGPD aclaran sus disposiciones o las especifican, pero no sustituyen la responsabilidad de quienes tratan los datos.

Corresponde al responsable del tratamiento la obligación de realizar la evaluación de impacto de la protección de datos (EIPD), y no al Delegado de Protección de Datos.

Desde un punto de vista práctico, existen varias figuras, con diferentes roles y responsabilidades, que pueden participar en la realización de una EIPD, entre estas figuras, la figura del DPD supone un valor añadido en el desarrollo de una EIPD aportando garantías para los derechos y libertades de los interesados.

La obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos. Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento pueden ser requeridas durante el proceso de evaluación.

En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.

Finalmente, el RGPD prevé que cuando resulte procedente se deberá recabar la opinión de los interesados o de sus representantes, sin perjuicio de que se adopten las medidas necesarias para proteger intereses comerciales o de negocio.

Una evaluación de impacto de la protección de datos (EIPD) se compone de una serie de fases que convergen hacia un único objetivo, proporcionar una visión detallada de la gestión de los riesgos relativos a la protección de datos que se realiza durante el ciclo de vida de los datos asociados a las actividades de tratamiento para poder garantizar los derechos y libertades de las personas físicas. La ejecución de una EIPD implica la consideración de varios factores que permitan establecer una ruta de trabajo, las fases y pasos a seguir para poder realizarla de una forma adecuada. La Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD publicada por la AEPD contiene una metodología al respecto. Puede consultar dicha Guía.

Una evaluación de impacto de la protección de datos (EIPD) se compone de una serie de fases que convergen hacia un único objetivo, proporcionar una visión detallada de la gestión de los riesgos relativos a la protección de datos que se realiza durante el ciclo de vida de los datos asociados a las actividades de tratamiento para poder garantizar los derechos y libertades de las personas físicas.

La ejecución de una EIPD implica la consideración de varios factores que permitan establecer una ruta de trabajo, las fases y pasos a seguir para poder realizarla de una forma adecuada.

La Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD publicada por la AEPD contiene una metodología al respecto. Puede consultar dicha Guía en el siguiente enlace.