22 Ago ¿EN QUÉ CASOS NECESITO UNA EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS (EIPD)?
Hay dos fases para llegar a una conclusión y responder a la pregunta:
FASE I: En primer lugar se deben consultar las listas de tratamientos de datos en los que la Ley establece como obligatoria la EIPD. Estos son los siguientes:
1) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
2) tratamiento a gran escala de las categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), o de los datos personales relativos a condenas e infracciones penales .
3)observación sistemática a gran escala de una zona de acceso público.
Si el tratamiento no está incluido en los supuestos comentados y en ninguna de las listas, no implica que no sea necesario llevar a cabo la EIPD, y en todo caso, será necesario pasar a la segunda fase de análisis.
Fase II: Análisis de la naturaleza, alcance, contexto y fines de tratamiento
Naturaleza del tratamiento: Se deben valorar las características más básicas del tratamiento y ver si estas pueden implicar un alto riesgo. Por ejemplo (un cierto número de respuestas afirmativas implica la obligatoriedad del EIPD):
¿Se tratan categorías especiales de datos?
¿Se tratan datos a gran escala?
¿Se hace un seguimiento exhaustivo de las personas?
¿Se combinan diferentes conjuntos de datos? (fuentes de información diferentes)
¿Los datos se refieren a personas en situación de vulnerabilidad?
Alcance del tratamiento: Se deben valorar los efectos o consecuencias del tratamiento, identificando hasta qué punto puede llegar y si éste puede suponer un alto riesgo. Por ejemplo:
¿Se realiza un proceso de toma de decisiones con efectos jurídicos?
¿Se realiza una valoración de riesgo crediticio?
¿Se valora la exclusión de beneficios sociales o fiscales?
Contexto del tratamiento: Se debe valorar el conjunto de circunstancias bajo las cuales se realizarán las actividades de tratamiento, con el objetivo de verificar si pueden suponer un alto riesgo. Por ejemplo:
¿Se realiza un uso de nuevas tecnológicas? ¿son especialmente invasivas para la privacidad?
¿Existen varios responsables del tratamiento?
¿Existen cadenas complejas de encargados de tratamiento?
¿Se producen transferencias internacionales?
¿Existen cesiones de datos?
Finalidades del tratamiento: Se deben identificar cada una de las finalidades del tratamiento y analizar si estas derivan en un alto riesgo. Por ejemplo, si la finalidad incluye:
Toma de decisiones
Elaboración de perfiles
Análisis predictivo
Prestación de servicios relacionados con la salud
Seguimiento, control y observación de personas (monitorización)
Sorry, the comment form is closed at this time.