Esta evaluaci\u00f3n es una medida adicional que deben llevar a cabo de forma obligatoria, ciertas empresas u organizaciones que lleven a cabo tratamientos de datos que se consideran de alto riesgo. <\/p>\n\n\n\n
- No debe confundirse con el an\u00e1lisis de riesgos<\/strong> que es una obligaci\u00f3n para cualquier empresa u organizaci\u00f3n que trate datos personales, sin excepci\u00f3n.<\/li><\/ul>\n\n\n\n
- Una de las fases del an\u00e1lisis de riesgos es precisamente determinar si alguno de los tratamientos analizados requieren de una evaluaci\u00f3n de impacto de protecci\u00f3n de datos y para conocer qu\u00e9 tratamientos est\u00e1n sujetos, tenemos dos fuentes principales.<\/li><\/ul>\n\n\n\n
- El art. 35 del RGPD que incluye tres tipos de tratamientos que requieren una evaluaci\u00f3n de impacto de protecci\u00f3n de datos:<\/li><\/ul>\n\n\n\n
\u201ca) evaluaci\u00f3n sistem\u00e1tica y exhaustiva de aspectos personales de personas f\u00edsicas que se base en un tratamiento automatizado, como la elaboraci\u00f3n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur\u00eddicos para las personas f\u00edsicas o que les afecten significativamente de modo similar;<\/em><\/p>\n\n\n\n
b)<\/em> <\/em>tratamiento a gran escala de las categor\u00edas especiales de datos a que se refiere el art\u00edculo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art\u00edculo 10, o<\/em><\/p>\n\n\n\n
c)<\/em> <\/em>observaci\u00f3n sistem\u00e1tica a gran escala de una zona de acceso p\u00fablico\u201d.<\/em><\/p>\n\n\n\n
- El listado de tratamientos que requieren esta evaluaci\u00f3n, publicado<\/a> por la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD).<\/li><\/ul>\n\n\n\n
En cualquiera de los dos supuestos, estamos hablando de tratamientos que objetivamente pueden implicar un riesgo elevado para las personas que son objeto del mismo.<\/p>\n\n\n\n
- Para decidir si un tratamiento requiere o no de la evaluaci\u00f3n de impacto tambi\u00e9n podemos consultar el listado de tratamientos que NO la requieren, publicado tambi\u00e9n por la AEPD.\u00a0<\/li><\/ul>\n\n\n\n
- La Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos debe realizarse antes<\/strong> que se inicie el tratamiento, lo que tiene toda la l\u00f3gica pues si de la Evaluaci\u00f3n se concluye que el tratamiento es intrusivo para las personas y dicho tratamiento ya se est\u00e1 realizando, poco sentido tiene.<\/li><\/ul>\n\n\n\n
\u00bfQu\u00e9 incluye una evaluaci\u00f3n de impacto de protecci\u00f3n de datos?<\/strong><\/h3>\n\n\n\n
El propio RGPD detalla el contenido m\u00ednimo de la evaluaci\u00f3n, que al menos deber\u00e1 incluir:<\/p>\n\n\n\n
- Una definici\u00f3n de los tratamientos realizados y sus fines.<\/li>
- Una justificaci\u00f3n que el tratamiento es necesario para conseguir tales fines.<\/li>
- Detalle de los riesgos para los afectados o titulares de los datos.<\/li>
- Medidas para mitigar o eliminar dichos riesgos.<\/li><\/ol>\n\n\n\n
S\u00f3lo podr\u00e1n llevarse a cabo los tratamientos que hayan superado la evaluaci\u00f3n de impacto de protecci\u00f3n de datos, en otras palabras cuando las medidas para mitigar o eliminar dichos riesgos, hayan sido implementadas.<\/strong><\/p>\n\n\n\n
![\"Evaluaci\u00f3n](\"https:\/\/www.rosello-mallol.com\/wp-content\/uploads\/cyber-security-2296269_1920-1024x576.jpg\")
<\/figure>\n\n\n\n\u00bfQui\u00e9n debe realizar una evaluaci\u00f3n de impacto de protecci\u00f3n de datos?<\/strong><\/h3>\n\n\n\n
Los obligados a realizar esta evaluaci\u00f3n de impacto son los responsables del tratamiento que efect\u00faen los tratamientos comentados. Si lo tuviera, tambi\u00e9n debe participar en ella el delegado de Protecci\u00f3n de Datos, siendo consultado. En el caso que quien tenga acceso a datos fuera considerado como encargado del tratamiento, no tiene la obligaci\u00f3n de realizar la evaluaci\u00f3n de impacto pero si de participar en ella si debe realizarla alg\u00fan responsable del tratamiento por cuenta de quien trate los datos.<\/p>\n\n\n\n
\u00bfC\u00f3mo act\u00faa la AEPD?<\/strong><\/h3>\n\n\n\n
Por el momento la AEPD se ha limitado a hacer una labor pedag\u00f3gica en relaci\u00f3n a dicha Evaluaci\u00f3n de Impacto, con la publicaci\u00f3n de una Gu\u00eda <\/a>a tal efecto y de una herramienta online<\/a> para que los responsables puedan decidir si deben o no hacerla.<\/p>\n\n\n\n
En la actualidad no constan sanciones por la falta de realizaci\u00f3n de la evaluaci\u00f3n de impacto en Espa\u00f1a, aunque en algunos pa\u00edses de la UE, como Noruega o Finlandia s\u00ed que las ha habido. Veremos si este ser\u00e1 el siguiente paso de la AEPD\u2026<\/p>\n\n\n\n
Si tienes cualquier duda sobre esto o cualquier aspecto legal, cont\u00e1ctanos aqu\u00ed<\/a>.<\/p>\n\n\n\n
- La Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos debe realizarse antes<\/strong> que se inicie el tratamiento, lo que tiene toda la l\u00f3gica pues si de la Evaluaci\u00f3n se concluye que el tratamiento es intrusivo para las personas y dicho tratamiento ya se est\u00e1 realizando, poco sentido tiene.<\/li><\/ul>\n\n\n\n
- Para decidir si un tratamiento requiere o no de la evaluaci\u00f3n de impacto tambi\u00e9n podemos consultar el listado de tratamientos que NO la requieren, publicado tambi\u00e9n por la AEPD.\u00a0<\/li><\/ul>\n\n\n\n
- El listado de tratamientos que requieren esta evaluaci\u00f3n, publicado<\/a> por la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD).<\/li><\/ul>\n\n\n\n
- El art. 35 del RGPD que incluye tres tipos de tratamientos que requieren una evaluaci\u00f3n de impacto de protecci\u00f3n de datos:<\/li><\/ul>\n\n\n\n
- Una de las fases del an\u00e1lisis de riesgos es precisamente determinar si alguno de los tratamientos analizados requieren de una evaluaci\u00f3n de impacto de protecci\u00f3n de datos y para conocer qu\u00e9 tratamientos est\u00e1n sujetos, tenemos dos fuentes principales.<\/li><\/ul>\n\n\n\n