Servicios
Contenido de una evaluación de impacto
Contenido
El artículo 35.7 del RGPD especifica que el contenido deberá ser el siguiente:
(a) “una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento”;
(b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con los fines;
(c) una evaluación de los riesgos para los derechos y libertades de los interesados;
(d) las medidas previstas para hacer frente a los riesgos, incluidas las salvaguardias, medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento del RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas interesadas.
Precisamente respecto de las personas interesadas, el RGPD establece que el responsable del tratamiento, cuando sea apropiado, deberá recabar las opiniones de los interesados o de sus representantes (por ejemplo asociaciones u otras entidades que agrupen intereses) en relación al tratamiento que pretende llevar a cabo (art. 35.9).
La documentación relacionada con las evaluaciones de impacto quedará a disposición de las autoridades de control, es decir, no solo el informe final, también el conjunto de documentos de trabajo que hayan sido utilizados para llevar a cabo la evaluación.
¿Qué sucede si no se lleva a cabo la EIPD, o no se realiza de la manera adecuada?
Si no se lleva a cabo una EIPD, o esta se realiza de una manera inadecuada o insuficiente, resulta evidente que los tratamientos estarán expuestos a unos riesgos no detectados, y por tanto no evaluados, y en consecuencia no se habrán adoptado las medidas oportunas para gestionarlos (reducir los riesgos), que permitan mitigar los efectos negativos que las operaciones de tratamiento puedan tener para los derechos y libertades de las personas, por tanto potencialmente pueden lesionar el derecho a la protección de los datos de carácter personal.
Esas afectaciones negativas, en el caso de materializarse, pueden suponer la comisión de diversas infracciones (por ejemplo: incumplimiento de obligaciones o principios, o bien no atender adecuadamente a derechos de las personas afectadas) por parte del responsable del tratamiento o, en su caso, del encargado del tratamiento; del mismo modo, probablemente se pueden llegar a producir daños y perjuicios materiales o morales, algunos irreparables, para las personas afectadas; en todo caso deberemos atender a la casuística para concretar la magnitud del perjuicio y el potencial tipo infractor que resultaría de aplicación.
El RGPD prevé en su régimen sancionador, que la no realización de la EIPD, cuando esta sea obligatoria, podría suponer una sanción económica (multa) de hasta 10.000.000 euros, o hasta el 2% de la facturación anual de total del ejercicio anterior.
¿Qué sucede si una vez llevada a cabo la evaluación de impacto llegamos a la conclusión de que las operaciones de tratamiento previstas siguen entrañando un alto riesgo?
El art. 36 del RGPD regula las denominadas “consultas previas”, una obligación que recae sobre el responsable del tratamiento y que consiste en consultar a la autoridad de supervisión antes de proceder a iniciar un tratamiento, cuando a resultas de la evaluación de impacto relativa a la protección de los datos (llevada cabo según el art. 35 del RGPD), se llega a la conclusión de que el tratamiento entrañaría un alto riesgo, debido a que el responsable del tratamiento no puede adoptar medidas para mitigar el riesgo residual, es decir, se da la circunstancia de que durante el proceso de evaluación el responsable del tratamiento no ha sido capaz de encontrar o incorporar medidas suficientemente efectivas como para mantener controlados los riesgos en un nivel aceptable.