L a valuación de Impacto en la Protección de Datos procede como consecuencia de la aplicación y la exigencia del RGPD. Este exige que los responsables del tratamiento implementen medidas de control adecuadas para demostrar que se garantizan los derechos y libertades de las personas y la seguridad de los datos. Para tener en cuenta entre otros, los “riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas” (artículo 24.1) y aplicando las medidas oportunas.
EL RGPD refuerza el principio de responsabilidad proactiva (“accountability”) de quienes tratan datos personales, de las empresas, PYMES e instituciones, de sus responsables. Esta exigencia se concreta entre otras acciones, en la evaluación de Impacto en la Protección de Datos. El RGPD requiere que estos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de tratamientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir con lo dispuesto en el RGPD.
En este contexto, el RGPD no debe entenderse como la necesaria obligación de realizar la evaluación de impacto en la protección de datos, EIPD de todos los tratamientos que hasta la fecha se vinieran realizando en la empresa, PYME o institución. Más bien que será necesario atender a las especificidades concretas de cada tratamiento.
Para ello, la empresa, la PYME, la institución, el responsable del tratamiento, deben considerar desde el inicio, en la fase de diseño, las acciones preventivas suficientes: Estas ofrecerán el poder identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales. De este modo, poder asegurar los principios de protección de los datos garantizando los derechos y libertades de los interesados.
A la hora de realizar una Evaluación de Impacto en la Protección de Datos, EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD en su artículo 35.7. Aquí se establece que esta Evaluación de Impacto ó EIPD deberá incluir como mínimo:
- Una descripción sistemática de la actividad de tratamiento previstas.
- Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
- Una evaluación de los riesgos-
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
¿Qué es una Evaluación de Impacto de protección de datos?
La EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.
CONSEJO: Artículo 35 del RGPD Establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento. Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad.
EL RGPD reconoce al Delegado de Protección de Datos, que deberá actuar como asesor del Responsable de TRATAMIENTO.
Apartado 2 del artículo 35 “El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”.
Artículo 39 del RGPD, entre otras funciones, para el DPO destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado del tratamiento.