El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto (EIPD) relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.
En este tesitura y pese a que la Agencia Española de Protección de Datos (AEPD) señala que están exentos, aquellos tratamientos que lleven a cabo los trabajadores autónomos que ejerzan de manera individual, en particular médicos, profesionales de la salud o abogados –sin perjuicio de que pueda requerirse– cuando dichos tratamientos cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren EIPD; algunos expertos prefieren realizarlo.
Este es el caso de Natalia Martos, socia directora de Legal Army, boutique especializada en privacidad que ahora celebra su segundo año como despacho, quien cree que la evaluación de impacto debe ayudar a la empresa a saber si sus tratamientos afectan a derechos fundamentales.
“Hay supuestos que quedan abiertos en el informe que ha hecho la AEPD, por eso ante la duda comentamos a nuestros clientes que lo hagan y evitan cualquier riesgo mayor”, señala.
Desde este bufete se realiza una ponderación para saber “si esa acción que va realizar ese cliente puede afectar de alguna forma al derecho de un particular. No es cien por cien objetivo. Con la evaluación de impacto desmenuzas la actividad que el cliente quiere poner en marcha y así sabes realmente el riesgo que existe. En nuestro caso somos partidarios de realizarla, sobre todo si hay dudas importantes”.
Sobre la última información de la AEPD, donde define qué tratamientos no necesitan dicha evaluación de impacto, Martos recuerda que “el RGPD es muy amplio y que ha pasado año y medio y ahora es el momento de matizar muchos temas. Creo que pasarán años hasta que se consolide una doctrina sobre esta cuestión”.
Recuerda que siempre la recomiendan hacer a sus clientes para evitar luego sanciones de la propia AEPD.
Realizar este tipo de pruebas supone generar «el registro de actividades del tratamiento que se lo queda el cliente como elemento de cara a la AEPD y terceros que se ha hecho dicha actividad puedan comprobar lo que se ha hecho”.
Para Martos, con la anterior Ley Orgánica de Protección de Datos (LOPD) estaba todo tasado y se sabía que hacer claramente. Ahora “es un marco jurídico diferente y eso hay que tenerlo en cuenta”.
En cuanto a la evaluación de impacto, en un caso de una campaña de marketing donde se quiere impactar a sus usuarios desde publicidad personalizada, “es conveniente realizar la evaluación de impacto para saber si se puede hacer o no, Si impactas a 5000 usuarios puedes menoscabar sus derechos y libertades”.
Martos aclara que “en ese caso utilizamos un procedimiento standard en el que hay una batería de preguntas amplia para que el cliente nos dé la información. Una vez recibido, con toda esa información, nos sentamos con el cliente para analizarla y ver si hay riesgo, qué tipo de riesgo y como controlarlo a través de una serie de medidas. Es una actividad compleja para conocer el riesgo de la actividad en cuestión que puede durar días”.
En este tipo de situaciones, las empresas, como los seres humanos con los médicos, piden una segunda opinión.
«Hemos tratado asuntos que llegaban supuestamente con un riesgo muy elevado tras la evaluación de impacto, nosotros en uno de los casos lo vimos viable siempre que se adaptarán algunas medidas de seguridad”, apunta Martos.
Otra opción es pedir consulta a la AEPD para saber realmente su opinión sobre dicha actividad.
LOS ABOGADOS, EXIMIDOS DE HACER LA EIPD
Por su parte, Jorge García, experto en privacidad y miembro de la red Secuoya, señala que “el texto de la AEPD que se refiere a los abogados tiene dos partes, en una nos exime de responsabilidad, en la otra se centra más en la práctica donde es posible que esos tratamientos requieran la evaluación de impacto. Es un texto que puede ser contradictorio porque los tratamientos son cambiantes mientras que las circulares de la AEPD son más estáticas”.
García advierte que se pone en lugar del regulador «hay más del 90% de cosas alrededor del RGPD que implicarían que las pymes tuvieran que realizar las propias EIPD y un registro de actividades detallado que no vendrían a cuento. Se trata de no sobrecargar a nuestras pymes con tantas exigencias, asi se ha hecho con los médicos individuales y abogados individuales aunque hay abogados que trabajan solos que tienen clientes importantes y que deberían hacer esa evaluación de impacto para proteger esos datos».
En este tipo de situaciones es posible que se generen muchas consultas a la propia AEPD «el problema es la parálisis que se puede producir si se hace la consulta, porque puedes tener parado el tratamiento de tu negocio hasta que el regulador en privacidad de resuelve la duda si debes hacer evaluación de impacto en materia de privacidad para evitar cualquier tipo de sanciones, pero podría colapsar a la AEPD si se empiezan a realizar dichas consultas».
A juicio de este jurista, “el problema de la evaluación impacto es cómo controlar si lo que se ha hecho está bien hecho. Es posible que surge la picaresca y que muchas empresas busquen un papel que les avale como que han hecho la citada evaluación de impacto. Este es un tema que los controles de la AEPD deberían intentar evitar pese a su cortedad de efectivos».
García cree que aquellas empresas que pongan aplicación biométrica que se haga para el mundo de rrhh debe partir de esta evaluación de impacto. “Esto lo ha dicho con más contundencia la Agencia Catalana de Protección de Datos que la propia AEPD».
Hace unos días, la AEPD publicó el listado de tratamientos de datos personales (ver aquí) en los que no es obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos.
Hay que destacar que la AEPD ha comunicado al Comité Europeo de Protección de Datos (CEPD) el listado, que también se encuentra disponible en inglés.
Al final se hará una lista común con todas las excepciones recogidas por los reguladores, como lista europea para toda la UE.
La AEPD ha publicado con anterioridad distintos recursos para facilitar el cumplimiento de esta obligación, como la Guía para las evaluaciones de impacto en la protección de datos personales; la lista de tipos de tratamientos de datos que requieren EIPD; Gestiona, una herramienta para realizar análisis de riesgos y evoluciones de impacto, o el modelo de informe de EIPD para Administraciones Públicas.
