{"id":9939,"date":"2022-02-16T11:11:54","date_gmt":"2022-02-16T09:11:54","guid":{"rendered":"https:\/\/auris.bcntic.com\/?p=9939"},"modified":"2022-02-16T11:11:54","modified_gmt":"2022-02-16T09:11:54","slug":"cuando-y-como-debo-hacer-una-evaluacion-de-impacto-eipd","status":"publish","type":"post","link":"https:\/\/auris.bcntic.com\/en\/cuando-y-como-debo-hacer-una-evaluacion-de-impacto-eipd\/","title":{"rendered":"Cuando y c\u00f3mo debo hacer una Evaluaci\u00f3n de Impacto (EIPD)"},"content":{"rendered":"

\u00bfCu\u00e1ndo?<\/h2>\n

El RGPD introduce el concepto de Evaluaci\u00f3n de Impacto relativa a la Protecci\u00f3n de Datos (EIPD) y obliga a las Autoridades de Control (en Espa\u00f1a, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos -AEPD-), a establecer listas orientativas de tratamientos que no requieren EIPD, as\u00ed como de tratamientos que s\u00ed requieren su realizaci\u00f3n.<\/p>\n

Con car\u00e1cter general, existe la obligaci\u00f3n de llevar a cabo la realizaci\u00f3n de una EIPD siempre que el tratamiento implique un alto riesgo para los derechos y libertades de las personas f\u00edsicas. Tal y como recoge el art. 35 del RGPD, la evaluaci\u00f3n de impacto se requerir\u00e1 en el caso de:<\/p>\n

    \n
  1. Evaluaci\u00f3n sistem\u00e1tica y exhaustiva de aspectos personales de personas f\u00edsicas que se base en un tratamiento automatizado, como la elaboraci\u00f3n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur\u00eddicos para las personas f\u00edsicas o que les afecten significativamente de modo similar.<\/li>\n
  2. Tratamiento a gran escala de las categor\u00edas especiales de datos a que se refiere el art\u00edculo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art\u00edculo 10.<\/li>\n
  3. Observaci\u00f3n sistem\u00e1tica a gran escala de una zona de acceso p\u00fablico.<\/li>\n<\/ol>\n

    Adem\u00e1s, tambi\u00e9n ha de realizarse en los siguientes supuestos (listado que, tal y como indica la AEPD, es orientativo y no exhaustivo):<\/p>\n

      \n
    1. Tratamientos que impliquen perfilado o valoraci\u00f3n de sujetos, incluida la recogida de datos del sujeto en m\u00faltiples \u00e1mbitos de su vida (desempe\u00f1o en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus h\u00e1<\/li>\n
    2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisi\u00f3n que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.<\/li>\n
    3. Tratamientos que impliquen la observaci\u00f3n, monitorizaci\u00f3n, supervisi\u00f3n, geolocalizaci\u00f3n o control del interesado de forma sistem\u00e1tica y exhaustiva, incluida la recogida de datos y metadatos a trav\u00e9s de redes, aplicaciones o en zonas de acceso p\u00fablico, as\u00ed como el procesamiento de identificadores \u00fanicos que permitan la identificaci\u00f3n de usuarios de servicios de la sociedad de la informaci\u00f3n como pueden ser los servicios web, TV interactiva, aplicaciones m\u00f3viles, etc.<\/li>\n
    4. Tratamientos que impliquen el uso de categor\u00edas especiales de datos a las que se refiere el art\u00edculo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el art\u00edculo 10 del RGPD o datos que permitan determinar la situaci\u00f3n financiera o de solvencia patrimonial o deducir informaci\u00f3n sobre las personas relacionada con categor\u00edas especiales de datos.<\/li>\n
    5. Tratamientos que impliquen el uso de datos biom\u00e9tricos con el prop\u00f3sito de identificar de manera \u00fanica a una persona f\u00ed<\/li>\n
    6. Tratamientos que impliquen el uso de datos gen\u00e9ticos para cualquier fin.<\/li>\n
    7. Tratamientos que impliquen el uso de datos a gran escala.<\/li>\n
    8. Tratamientos que impliquen la asociaci\u00f3n, combinaci\u00f3n o enlace de registros de bases de datos de dos o m\u00e1s tratamientos con finalidades diferentes o por responsables distintos.<\/li>\n
    9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusi\u00f3n social, incluyendo datos de menores de 14 a\u00f1os, mayores con alg\u00fan grado de discapacidad, discapacitados, personas que acceden a servicios sociales y v\u00edctimas de violencia de g\u00e9nero, as\u00ed como sus descendientes y personas que est\u00e9n bajo su guardia y custodia.<\/li>\n
    10. Tratamientos que impliquen la utilizaci\u00f3n de nuevas tecnolog\u00edas o un uso innovador de tecnolog\u00edas consolidadas, incluyendo la utilizaci\u00f3n de tecnolog\u00edas a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilizaci\u00f3n de datos con riesgo para los derechos y libertades de las personas.<\/li>\n
    11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la informaci\u00f3n que debe proporcionarse a los interesados seg\u00fan el art\u00edculo 14.5 (b,c,d) del RGPD.<\/li>\n<\/ol>\n

      \u00bfC\u00f3mo?<\/h2>\n

      Una vez el responsable de los datos identifica que el tratamiento de los mismos implica un alto riesgo para los derechos y libertades de las personas f\u00edsicas, y como fase previa a la realizaci\u00f3n de la EIPD, se hace necesario realizar un estudio sobre el alcance de \u00e9sta.<\/p>\n

      Para ello, se eval\u00faan los siguientes aspectos:<\/p>\n

        \n
      • Datos personales que se van a tratar.<\/li>\n
      • De donde provienen los datos.<\/li>\n
      • Operaciones de tratamiento a<\/li>\n
      • Mecanismo de recogida de datos.<\/li>\n
      • Sistema de almacenamiento y tratamiento.<\/li>\n
      • Uso principal que se le va a dar al<\/li>\n
      • Destrucci\u00f3n del<\/li>\n
      • Personas o grupos de personas<\/li>\n<\/ul>\n

        Si se concluye que procede realizar la evaluaci\u00f3n de impacto el proceso de evaluaci\u00f3n se divide en tres grandes bloques:<\/p>\n

        1) Identificaci\u00f3n del<\/strong> contexto<\/strong> en<\/strong> el<\/strong> que <\/strong>se<\/strong> tratan los datos:<\/strong><\/h3>\n

        Se estudia <\/strong>el ciclo de vida <\/strong>de los datos objeto de tratamiento: origen \u00e9stos, clasificaci\u00f3n y almacenamiento, uso y tratamiento, accesos por parte de terceros y procesos de destrucci\u00f3n.<\/p>\n

        Posteriormente se analiza la necesidad y proporcionalidad <\/strong>del tratamiento: identificar finalidades y medios deltratamiento, identificar los datos objeto de tratamiento y evaluar su necesidad para la finalidad con la que se pretenden recoger, evaluando as\u00ed la base legitimadora del tratamiento, conforme al art\u00edculo 6 del RGPD.<\/p>\n

        2) Gesti<\/strong>\u00f3n de los riesgos: <\/strong><\/h3>\n

        En este bloque se identifican las<\/strong> amenazas y riesgos: <\/strong>identificaci\u00f3n de potenciales escenarios de riesgo que afecten negativamente a los derechos y libertades de los afectados:<\/p>\n

          \n
        1. a) Evaluaci\u00f3n y valoraci\u00f3<\/strong>n <\/strong>de riesgos detectados: estimar la probabilidad y el impacto de que los riesgos detectados se<\/li>\n
        2. b) Tratamiento <\/strong>de los riesgos: definir las medidas necesarias para tratar los riesgos detectados y reducir el nivel de exposici\u00f3<\/li>\n<\/ol>\n

          3) Conclusiones:<\/strong><\/h3>\n

          Elaboraci\u00f3n de un informe<\/strong> final<\/strong> de<\/strong> conclusiones <\/strong>basado en el nivel de riesgo residual, valorando si se considera elevado o aceptable y, por tanto, si la EIPD es favorable o no.<\/p>\n

          Visto el procedimiento por para llevar a cabo una EIPD de manera correcta, podemos concluir que la gesti\u00f3n del alto riesgo y la Evaluaci\u00f3n de Impacto para la Protecci\u00f3n de Datos son procesos \u00edntimamente vinculados puesto que la gesti\u00f3n del riesgo incluyendo las garant\u00edas de una EIPD ha de realizarse:<\/p>\n

          \u201c<\/strong>Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnolog<\/strong>\u00ed<\/strong>as, por su naturaleza, alcance, contexto o fines, entra\u00f1e un alto riesgo para los derechos y libertades de las personas f<\/strong>\u00ed<\/strong>sicas<\/strong>\u201d<\/strong>.<\/strong><\/p><\/blockquote>\n

          \n

          Elisabeth Gratti
          \n<\/span><\/b>Abogada Dept. RGPD<\/span><\/b>
          \n<\/span><\/b><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

          \u00bfCu\u00e1ndo? El RGPD introduce el concepto de Evaluaci\u00f3n de Impacto relativa a la Protecci\u00f3n de Datos (EIPD) y obliga a las Autoridades de Control (en Espa\u00f1a, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos -AEPD-), a establecer listas orientativas de tratamientos que no requieren EIPD, as\u00ed como de tratamientos que s\u00ed requieren su realizaci\u00f3n. Con car\u00e1cter […]<\/p>\n","protected":false},"author":5,"featured_media":9940,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[1007,1159],"tags":[],"_links":{"self":[{"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/posts\/9939"}],"collection":[{"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/comments?post=9939"}],"version-history":[{"count":1,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/posts\/9939\/revisions"}],"predecessor-version":[{"id":9946,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/posts\/9939\/revisions\/9946"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/media\/9940"}],"wp:attachment":[{"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/media?parent=9939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/categories?post=9939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/auris.bcntic.com\/en\/wp-json\/wp\/v2\/tags?post=9939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}