Servicios
Evaluación de impacto
Definición
Una de las definiciones de la EIPD más extendida, es la que las considera la guia de la AEPD como «un proceso donde se lleva a cabo un esfuerzo consciente y sistemático para evaluar el impacto en la protección de datos personales de las opciones que pueden adoptarse en relación con una determinada propuesta o proyecto» o como «una evaluación de cualesquiera efectos actuales o potenciales que una determinada propuesta o proyecto podrían tener en la privacidad individual y las formas en las que estos efectos adversos se pueden mitigar» Stewart, B. Privacy impact assessments. Privacy Law and Policy Reporter. Australia (1996).
Evaluación de impacto en el RGPD
El Reglamento Europeo (RGPD) contempla la realización de Evaluaciones de impacto en sus artículos 35 y 36.
Artículo 35.1 Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
Por su parte, el Considerando 84 del Reglamento indica que «a fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento».
Aunque los modelos tradicionales de supervisión contemplados en la LOPD y en su reglamento de desarrollo (RLOPD) continúan siendo válidos (auditorías periódicas; correcta documentación de los tratamientos...), se precisa prever mecanismos de protección de datos desde el diseño (privacy by design), capaces de dar seguridad y confianza en los tratamientos con datos personales desde los instantes iniciales en que se diseña un nuevo sistema, producto o servicio. Este proceso de «privacidad desde el diseño» pasa por la elaboración de la herramienta que consiga estos objetivos de evaluación de los riesgos que pudieran existir para la privacidad de las personas: es decir, el ya referido EIPD o Evaluación de Impacto en la Protección de Datos Personales.
Sin embargo, no todas las evaluaciones de impacto deben plantearse con la misma intensidad ni con el mismo grado de profundidad. Habrá casos en los que será posible llevarlas a cabo de una manera menos exhaustiva y formalizada, porque se ponga de manifiesto que los riesgos son escasos o fácilmente mitigables, y en otros casos se requiera un mayor detalle o concreción.