Serveis
Determinació dels riscos
Aquest és l’element central a la nova regulació ja que es configura com un element central del principi de responsabilitat activa (accountability), interrelacionant-se amb principis com el de la privacitat des del disseny i per defecte i obligacions com el registre d’activitats de tractament. Aquesta aproximació basada en el risc es concreta al RGPD, entre altres qüestions, en l’obligació de realitzar una avaluació d’impacte en determinats supòsits, o a la realització d’una consulta prèvia a l’autoritat de control.
El risc el podem definir com la contingència o proximitat d'un dany, o bé, la possibilitat que es produeixi un dany o perjudici per a una persona derivat del tractament de les seves dades personals, que causi una afecció al seu dret fonamental a la protecció de dades. De qualsevol manera, el Reglament (tampoc ho feia la Directiva 95/46 / CE) defineix el que s'ha d'entendre per risc.
EL RGPD sí dóna algunes pistes del que s'entén per “alt risc”, com són la sensibilitat de les dades i les conseqüències que tenen per l’interessat el tractament de les seves dades. Assenyala el Considerant 91: “Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. (…)”
El Grup de Treball de l'article 29 va adoptar, el 4/4/2017 (revisades el 4/10/17) unes Directrius sobre Avaluació d'Impacte (EIPD) per determinar si "es probable que el tractament suposi un alt risc" als efecte del Reglament 679/2016.
De mode resumit, les directrius dicten el següent:
"Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos particulares del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la lista que debe adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los considerandos 71, 75 y 91, y otras referencias del RGPD a operaciones de tratamiento que «probablemente entrañen un alto riesgo», se deben considerar los nueve criterios siguientes:
1. Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado» (considerandos 71 y 91).
2. Toma de decisiones automatizada con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar» [artículo 35, apartado 3, letra a)].
3. Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática [...] de una zona de acceso público» [artículo 35, apartado 3, letra c)].
4. Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10.
5. Tratamiento de datos a gran escala: el RGPD no define qué se entiende por gran escala, aunque el considerando 91 ofrece alguna orientación. En cualquier caso, el GT29 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:
a. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
b. el volumen de datos o la variedad de elementos de datos distintos que se procesan;
c. la duración, o permanencia, de la actividad de tratamiento de datos;
d. el alcance geográfico de la actividad de tratamiento.
6. Asociación o combinación de conjuntos de datos, por ejemplo procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado.
7. Datos relativos a interesados vulnerables (considerando 75): El tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.
8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc.
9. Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato» (artículo 22 y considerando 91)."