Servicios

Determinación de los riesgos

Cualquier tratamiento de datos personales va a implicar la necesidad de considerar la existencia de un riesgo siendo “la aproximación basada en el riesgo” (risk-based approach) el criterio esencial en torno al que gira el Reglamento.

Este elemento es central en la nueva regulación ya que se configura como un elemento central del principio de responsabilidad activa (accountability), interrelacionándose con principios como el de privacidad desde el diseño y por defecto y obligaciones como el registro de actividades de tratamiento. Esta aproximación basada en el riesgo se concreta en el RGPD, entre otras cuestiones, en la obligación de realizar una evaluación de impacto en determinados supuestos, o la realización de una consulta previa a la autoridad de control.

El riesgo lo podemos definir como la contingencia o proximidad de un daño, o bien, la posibilidad de que se produzca un daño o perjuicio para una persona derivado del tratamiento de sus datos personales, que cause una afección a su derecho fundamental a la protección de datos. De cualquier modo, el Reglamento (tampoco lo hacía la Directiva 95/46/CE) define lo que se debe entender por riesgo.

El RGPD si da algunas pistas de lo que entiende por “alto riesgo” como son la sensibilidad de los datos y las consecuencias que tiene para el interesado el tratamiento de sus datos. Señala el Considerando (91): “Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de  interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. (…)

El Grupo de Trabajo del Art. 29 adoptó, el 4/4/2017 (revisadas en 4/10/17) unas Directrices sobre Evaluación de Impacto (EIPD) para determinar si "es probable que el tratamiento suponga un alto riesgo" a los efectos del Reglamento 679/2016.

De modo resumido, las directrices dictan los siguiente:

Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos particulares del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la lista que debe adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los considerandos 71, 75 y 91, y otras referencias del RGPD a operaciones de tratamiento que «probablemente entrañen un alto riesgo», se deben considerar los nueve criterios siguientes:

1. Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado» (considerandos 71 y 91).

2. Toma de decisiones automatizada con efecto jurídico significativo o similar: tratamiento destinado a tomar decisiones sobre los interesados que produce «efectos jurídicos para las personas físicas» o que les afectan «significativamente de modo similar» [artículo 35, apartado 3, letra a)].

3. Observación sistemática: tratamiento usado para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u «observación sistemática [...] de una zona de acceso público» [artículo 35, apartado 3, letra c)].

4. Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos personales definidas en el artículo 9 (por ejemplo, información sobre las opiniones políticas de las personas), así como datos personales relativos a condenas e infracciones penales según la definición del artículo 10.

5. Tratamiento de datos a gran escala: el RGPD no define qué se entiende por gran escala, aunque el considerando 91 ofrece alguna orientación. En cualquier caso, el GT29 recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

a. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;

b. el volumen de datos o la variedad de elementos de datos distintos que se procesan;

c. la duración, o permanencia, de la actividad de tratamiento de datos;

d. el alcance geográfico de la actividad de tratamiento.

6. Asociación o combinación de conjuntos de datos, por ejemplo procedentes de dos o más operaciones de tratamiento de datos realizadas para distintos fines o por responsables del tratamiento distintos de una manera que exceda las expectativas razonables del interesado.

7. Datos relativos a interesados vulnerables (considerando 75): El tratamiento de este tipo de datos representa un criterio debido al aumento del desequilibrio de poder entre los interesados y el responsable del tratamiento, lo cual implica que las personas pueden ser incapaces de autorizar o denegar el tratamiento de sus datos, o de ejercer sus derechos.

8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc.

9. Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato» (artículo 22 y considerando 91).