Evaluaciones de impacto para Andorra
Las evaluaciones de impacto en protección de datos son una medida para garantizar los derechos de protección de datos de las personas afectadas. En el caso de las evaluaciones de impacto para Andorra están previstas, de forma general, en dos normas específicas:
- Ley 29/2021, de 28 de octubre, calificada de protección de datos personales (art. 32) “LQPD”.
- Decreto 391/2022, de 28 de septiembre de 2022 (Reglamento de aplicación de la Ley 29/2021, de 28 de octubre, calificada de protección de datos personales, art 17); exigible a partir del 5 de abril de 2023. “Reglamento LQPD”.
En la actualidad, y fruto de la aplicación de las normas anteriores, también comienzan a aprobarse y a surgir normas sectoriales que contemplan la realización de evaluaciones de impacto por tratamientos de datos personales particulares (por ejemplo: el art. 26.7 de la Ley 41/2022, de 1 de diciembre, de medidas de protección, de estímulo del mercado y de gobernanza en el ámbito de la vivienda).
En este caso, se exige una evaluación de impacto por la comunicación de datos entre administraciones públicas relacionadas con “tipologías y usos (de viviendas), con identificación, también, de los titulares, así como los datos de consumo de suministro y estado de empleo”.
¿Cuándo son necesarias las evaluaciones de impacto para Andorra y quién debe hacerla?
En primer lugar, es necesario establecer que el obligado a realizar una evaluación de impacto es, siempre, el responsable del tratamiento que, en definitiva, es quien decide llevar a cabo un tratamiento de datos determinado. En este sentido, los encargados del tratamiento pueden ser requeridos para aportar información en relación a una evaluación de impacto realizada por un responsable que, como decimos, es quien debe liderarla.
La LQPD establece los supuestos de tratamientos de datos generales que exigirán la realización de una evaluación de impacto:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como la elaboración de perfiles, en base a la cual se toman decisiones que producen efectos jurídicos para las personas físicas o que les afectan significativamente de modo similar.
b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, o de los datos personales relativos a condenas e infracciones penales a las que se refiere el artículo 10.
c) Observación sistemática a gran escala de una zona de acceso público.
Además de los casos en que son necesarias, la normativas vigentes, tanto la LQPD como el Reglamento LQPD, aportan información adicional a la hora de realizar una evaluación de impacto de forma correcta:
- Es necesario realizarse antes de que se lleve a cabo el tratamiento de datos.
- Se consideran tratamientos de alto riesgo cuando se dan de forma simultánea dos de las siguientes situaciones:
| La elaboración de perfiles. |
| La toma de decisiones automatizadas con efectos jurídicos significativos para las personas físicas. |
| La observación sistemática de interesados. |
| Datos sensibles (salud, religión, vida sexual…) |
| Tratamiento de datos a gran escala. |
| La asociación o combinación de conjuntos de datos. |
| Datos de personas vulnerables: menores, empleados o grupos más vulnerables de la población que necesitan una protección especial. |
| El uso innovador o la aplicación de nuevas soluciones tecnológicas. |
| El tratamiento impide a los interesados ejercitar un derecho, utilizar un servicio o ejecutar un contrato. |
| Tratamientos de datos económico-financieros por parte de entidades bancarias o establecimientos financieros. |
- Resulta también esclarecedor el art.17.5 del Reglamento LQPD que establece los criterios para definir si un tratamiento de datos puede considerarse como de “gran escala”:
| El número de personas afectadas, ya sea en términos absolutos o como proporción de determinada población. |
| El volumen y variedad de datos tratados, considerando que si se superan los 5.000 afectados estamos ante un tratamiento de datos a gran escala. |
| La duración del tratamiento. |
| La extensión geográfica del tratamiento. |
Por último, os doy unos cuantos consejos o recomendaciones adicionales:
- Es necesario involucrar al Delegado de Protección de Datos de la organización en cualquier evaluación de impacto, hasta el punto de que puede decidir iniciar una y debe justificar, en su caso, porque un tratamiento no requiere evaluación de impacto.
- Si realizada la evaluación de impacto se detecta un gran riesgo y el responsable no toma medidas para mitigarlo, es necesario elevar una consulta a la Agencia Andorrana de Protección de Datos.
- La evaluación de impacto no es una tarea puntual, sino que es necesario prever su actualización cuando fuera necesario.
- No confundir la evaluación de impacto con el análisis de riesgos: ésta última es una obligación para cualquier tratamiento de datos, implique o no un elevado riesgo para las personas afectadas.
¡Pues, nada más! Si te ha quedado alguna pregunta sobre este o cualquier otro tema, ¡no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.
