Consultores RGPD
Vaya al Contenido

Evaluación de Impacto en la Protección de Datos Personales

Servicios
Servicios para la realización de una EIPD-DPIA

Normativas aplicables
• Reglamento General de Protección de Datos, Reglamento (UE) 2016/679 (GDPR-RGPD).
• Ley Orgánica (ES) 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
• E-Privacy Regulation (pendiente de aprobación UE)
Plazos
Una EIPD debe realizarse antes de comenzar un nuevo tratamiento o antes de poner en marcha un nuevo sistema, producto o servicio
¿Qué es una Evaluación de Impacto relativa a la protección de datos (EIPD-DPIA)?
Una Evaluación de impacto en la protección de datos (EIPD o DPIA) es una herramienta que permite al Responsable del tratamiento, con carácter previo y preventivo, identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento de datos que realiza o pretende realizar, con el objetivo de garantizar los derechos y libertades de las personas físicas.

Esto le va a permitir establecer las medidas de control más adecuadas para reducir dichos riesgos hasta un nivel considerado como aceptable.

Una DPIA (Data Protection Impact Assessment) es un proceso diseñado para ayudar al Responsable a analizar, identificar y minimizar sistemáticamente los riesgos de protección de datos de un proyecto o plan. Es una obligación fundamental del Responsable y le ayuda a evaluar y demostrar cómo cumple con todas sus obligaciones de protección de datos (responsabilidad proactiva).

No se trata de erradicar todos los riesgos, pero sí debe ayudar al Responsable a minimizar y determinar si el nivel de riesgo es aceptable o no, teniendo en cuenta los beneficios que desea lograr.

Las DPIA están diseñadas para ser una herramienta flexible y escalable que puede aplicarse a una amplia gama de sectores y proyectos. La realización de una DPIA no tiene por qué ser compleja o llevar mucho tiempo en todos los casos, pero debe haber un nivel de rigor en proporción a los riesgos de privacidad que surjan.
Normativa
Consulta toda la información sobre esta normativa de obligado cumplimiento
Infografía
Porque una imagen vale más que mil palabras, te contamos, de forma resumida, tus obligaciones
¿Quién debe realizar una Evaluación de impacto de protección de datos?
El artículo 35.3 del RGPD dispone que el Responsable deberá realizar DPIA en los siguientes casos:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.

Además, según el art. 35.4 del RGPD, la autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una DPIA. En este sentido, nuestra Autoridad de control, la AEPD, ha publicado la siguiente lista orientativa:

  1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Otros servicios relacionados
Auditoría RGPD
Auditoría RGPD relativa a la protección de datos personales
Servicios Jurídicos
• Asesoramiento a las entidades ante inspecciones de la Agencia Española de Protección de Datos o ante el traslado de reclamación y solicitud de información.
• Defensa jurídica ante la AEPD. Recursos contencioso-administrativos.
Delegado de protección de datos
• Servicio de DPD-DPO externo.
• Servicio de ayuda al DPO interno.
Consulte si por su actividad necesita implantar un DPD en su empresa y la necesidad o no de contratar el servicio externo (puede nombrarse como DPD a una persona de la organización)
Formación RGPD
Cursos de formación online (programados o autoaprendizaje), con emisión de certificados de aprovechamiento.
Formación para Usuarios, Responsable del tratamiento, Encargado de Seguridad y Encargado del ejercicio de derechos.
Consultora DPIARecomendaciones y otra información
• La DPIA o EIPD es una herramienta esencial para asegurarse de que los tratamientos de datos personales se realicen de manera responsable y cumpliendo con las normativas de protección de datos, garantizando así la privacidad y los derechos de las personas.
• Son un instrumento indispensable para que los Responsables implementen sistemas de procesamiento de datos que cumplan con el RGPD. Pueden ser obligatorias para algunos tipos de operaciones de procesamiento, por lo que antes de iniciar un nuevo tratamiento de datos de alto riesgo, se debe revisar si existe la obligación de realizarlas.
• Son escalables y pueden tomar diferentes formas, pero el RGPD establece los requisitos básicos de una EIPD efectiva. Los Responsables deben verla como una actividad útil y positiva que ayuda al cumplimiento legal.
Regreso al contenido