Guia práctica de evaluación en el impacto sobre protección de datos
11 de noviembre de 2019
Recientemente, la Autoritat Catalana en Protecció de Dades (ADPCAT) ha publicado una Guía práctica de Evaluación de impacto relativa a la protección de datos para facilitar a responsables y encargados el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (de ahora en adelante RGPD).
Dentro de las novedades del RGPD se incorpora una nueva obligación para los responsables de tratamientos para evaluar el impacto de las operaciones de tratamiento en la protección de los datos personales, cuando sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas.
Por lo tanto, cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo por los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable tiene que hacer antes una evaluación del impacto en la protección de datos (AIPD).
En estos casos, el responsable del tratamiento tiene que buscar el consejo del Delegado de Protección de Datos (DPD). Este consejo y las decisiones que tome tienen que quedar documentadas en la AIPD. En particular, el responsable del tratamiento tiene que pedir opinión al DPD en los aspectos siguientes: determinar si hay que hacer una AIPD, la metodología a usar en la AIPD, determinar si conviene hacer la AIPD internamente o si es mejor externalizarla, las medidas adoptadas para proteger los derechos y las libertades de las personas y determinar si la AIPD se ha hecho correctamente y si las conclusiones satisfacen los requerimientos de protección de datos.
A efectos prácticos, tal y como establece el artículo 35.4 del RGPD, las autoridades de control han publicado en sus web de referencia, una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos, a pesar de que estas listas no son exhaustivas y se irán actualizando progresivamente. Así pues, el hecho que un tratamiento no esté a la lista no significa que no se tenga que hacer una AIPD, por eso habrá que verificar con el DPDque el tratamiento no supone un alto riesgo por los derechos y libertades de las personas, especialmente si se utiliza nuevas tecnologías.
Para mayor información podéis consultar la Guía práctica sobre la evaluación de impacto relativa a la protección de datos y la plantilla de evaluación de impacto relativa a la protección de datos en el siguiente enllaç
