Blog

Protección de Datos

¿Cuándo es obligatorio realizar una evaluación de impacto o EIPD?

8 mayo, 2019

El Reglamento General de Protección de Datos (RGPD) se aplica desde el 25 de mayo de 2018. Una de las grandes novedades introducidas por esta normativa europea han sido las Evaluaciones de Impacto relativas a la protección de datos (EIPD).

 

¿QUÉ ES UNA EVALUACIÓN DE IMPACTO O EIPD?

Una Evaluación de Impacto o Data Protection Impact Assessment (DPIA) es una herramienta para evaluar un tratamiento de datos personales con el fin de identificar las medidas de seguridad necesarias y eliminar los riesgos asociados.

Una EIPD es un instrumento esencial para garantizar la correcta adaptación de las empresas a las normativas de protección de datos. Además, es uno de los mecanismos para demostrar el correcto cumplimiento ante posibles inspecciones.

El incumplimiento de las obligaciones sobre la realización de una EIPD puede derivar en sanciones de las Autoridades de control.

Las siguientes acciones están consideras infracciones graves y son susceptibles de multas de hasta 10 millones de euros o el 2% de la facturación anual:

  • Tratamiento de datos personales sin realizar previamente una EIPD, cuando sea exigible.
  • Llevar a cabo una Evaluación de Impacto de forma incorrecta.
  • No consultar a la autoridad de control cuando no puedan eliminarse los riesgos por completo.

 

¿CUÁNDO ES OBLIGATORIO LLEVAR A CABO UNA EIPD?

La realización de una Evaluación de Impacto de la Protección de Datos es obligatoria para tratamientos que conlleven un alto riesgo para los derechos y libertades de las personas.

Ante la falta de concreción del Reglamento Europeo, la Agencia de Protección de Datos (AEPD) ha publicado un listado de criterios para ayudar a determinar qué tratamientos requieren una EIPD obligatoriamente.

Las empresas que realicen un tratamiento que cumpla con dos o más criterios de la siguiente lista tendrán que llevar a cabo una Evaluación de impacto:

  • Tratamientos que impliquen perfilado o valoración de personas que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  • Uso de datos personales que implique la toma de decisiones automatizadas.
  • Gestión de datos que implique la observación, monitorización, supervisión, geolocalización o control de las personas de forma sistemática y exhaustiva.
  • Tratamientos que impliquen el uso de categorías especiales de datos, datos relativos a condenas o infracciones o datos que permitan determinar la situación financiera o de solvencia patrimonial.
  • Gestiones que implique el uso de datos biométricos con el fin de identificar a una persona.
  • Operaciones que impliquen el uso de datos genéticos.
  • Tratamientos que impliquen el uso de datos a gran escala.
  • Operaciones que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades o por responsables distintos.
  • Tratamientos de datos de personas vulnerables o en riesgo de exclusión social.
  • Uso de datos personales que implique el uso de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
  • Operaciones con datos personales que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

 

Consulta la lista completa en este enlace.

Más información sobre la Evaluación de Impacto en la protección de los datos aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *