EIPD: ¿Qué es? ¿Es obligatoria? ¿Quién la debe realizar?

Dentro del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la EIPD es una herramienta esencial. Esta evaluación garantiza que las empresas y organizaciones traten los datos personales de manera que se minimicen los riesgos para la privacidad de las personas. En este artículo, explicaremos en profundidad toda la información relacionada con la EIPD.

¿Qué es una EIPD?

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un proceso sistemático destinado a analizar cómo un determinado tratamiento de datos personales puede afectar a los derechos y libertades de las personas físicas. Su objetivo es identificar posibles riesgos derivados del tratamiento de datos y proponer medidas para mitigarlos.

El artículo 35 del RGPD regula la EIPD, especificando que esta herramienta es clave para asegurar el cumplimiento normativo en materia de protección de datos. Además, la EIPD permite evaluar el impacto de los riesgos inherentes a operaciones de tratamiento de datos personales que puedan ser particularmente intrusivas o complejas.

¿Cuándo hay que hacer una evaluación de impacto?

La EIPD es obligatoria cuando el tratamiento de datos presenta un alto riesgo para los derechos y libertades de las personas. Este concepto, aunque parece subjetivo, está bien delineado en el artículo mencionado antes. De manera general, es necesario realizar una EIPD en los siguientes casos:

1. Tratamientos sistemáticos y exhaustivos de datos personales. Por ejemplo, la vigilancia a gran escala de espacios públicos o privados mediante cámaras de seguridad.
2. Evaluaciones automatizadas de perfiles. Como las realizadas por empresas de marketing para segmentar audiencias o por entidades financieras para determinar la solvencia de una persona.
3. Tratamientos a gran escala de categorías especiales de datos. Incluyen datos como los referentes a la salud, el origen étnico o las opiniones políticas, entre otros.

La Agencia Española de Protección de Datos (AEPD), así como otras agencias europeas, ha emitido listas específicas de situaciones en las que es obligatorio realizar una EIPD, proporcionando más claridad sobre los casos de alto riesgo.

Operaciones de tratamiento de datos que deben someterse obligatoriamente a una EIPD

No todas las operaciones de tratamiento de datos personales requieren una EIPD. Sin embargo, el RGPD establece ciertos escenarios en los que este procedimiento es obligatorio, como:

1. Monitoreo sistemático de un área accesible al público. Por ejemplo, el uso de cámaras de videovigilancia en entornos comerciales o en la vía pública.
2. Tratamiento de datos biométricos o genéticos. Para la identificación única de individuos. Este tipo de datos son particularmente sensibles, y su uso sin una EIPD podría suponer riesgos importantes para la privacidad.
3. Datos de salud y otras categorías especiales. Organizaciones como hospitales o centros de investigación médica que manejan datos sobre la salud de las personas deben realizar una evaluación de impacto.
4. Nuevas tecnologías. El uso de inteligencia artificial (IA) para decisiones automatizadas sobre personas físicas entra en esta categoría.

Es fundamental que las organizaciones comprendan estas categorías y evalúen si sus operaciones requieren la realización de una EIPD.

¿Qué debe incluir una evaluación de impacto?

Una EIPD debe tener los suficientes detalles para identificar los riesgos y proponer soluciones. Aunque la estructura puede variar según las circunstancias, el RGPD establece que debe incluir al menos los siguientes elementos:

1. Descripción detallada del tratamiento de datos. ¿Qué datos se recopilan, cómo se procesan y durante cuánto tiempo se conservarán?
2. Evaluación de la necesidad y proporcionalidad del tratamiento. ¿Por qué es necesario tratar esos datos? ¿Existen formas menos intrusivas de alcanzar el mismo objetivo?
3. Identificación de riesgos. Hay que identificar cualquier riesgo potencial para los derechos y libertades de las personas, evaluando tanto la probabilidad de que esos riesgos se materialicen como su gravedad.
4. Medidas para mitigar los riesgos. Recomendar soluciones para mitigar los riesgos detectados. Esto puede incluir la adopción de medidas técnicas, como el cifrado, o de medidas organizativas, como la limitación del acceso a los datos.

¿Quién debe realizarla?

La responsabilidad de realizar una EIPD recae sobre el responsable del tratamiento de los datos. Este es el organismo, empresa u organización que decide por qué y cómo se procesan los datos personales. En casos donde un encargado del tratamiento (un tercero contratado para manejar datos en nombre del responsable) esté involucrado, este también puede participar en el proceso, pero la responsabilidad última recae en el responsable del tratamiento.

Por ejemplo, una empresa que contrata un servicio de almacenamiento en la nube sigue siendo responsable de asegurarse de que una EIPD se realice de manera adecuada si la operación de tratamiento de datos lo requiere.

Las organizaciones también pueden contar con la asistencia de su delegado de protección de datos (DPO) o asesorarse con expertos para llevar a cabo esta evaluación. En algunos casos, puede ser necesario consultar a la autoridad de control antes de iniciar el tratamiento de datos.

Metodología para realizar una EIPD

Aunque el RGPD no impone una metodología específica, muchos países y autoridades de protección de datos han desarrollado guías para ayudar a las organizaciones a cumplir con esta obligación. Entre los pasos comunes, encontramos:

1. Definir el contexto del tratamiento. Identificar qué datos se procesarán, quién los gestionará y cómo se utilizarán.
2. Evaluar los riesgos potenciales. Una revisión de posibles brechas en la seguridad de los datos y de los posibles efectos sobre los derechos de los interesados.
3. Determinar las medidas de mitigación. Basado en la identificación de riesgos, se deben proponer medidas concretas para reducir los riesgos a niveles aceptables.
4. Documentación y consulta. Todos los pasos deben documentarse. En ciertos casos, puede ser necesario consultar con la autoridad de protección de datos antes de proceder con el tratamiento.

El RGPD es claro: las organizaciones deben adoptar un enfoque proactivo y no reactivo en la protección de los datos personales. Realizar una EIPD no solo es una obligación en ciertos casos, sino una buena práctica que refuerza la confianza de los usuarios en la organización.