CAMPUS VIRTUAL
ÁREA DE CLIENTES
PRESUPUESTO

¿Necesitas realizar una Evaluación de Impacto de Protección de Datos (EIPD)?

La Evaluación de Impacto de Protección de Datos, también conocida como EIPD, es obligatoria cuando el tratamiento de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías

¿En qué consiste una Evaluación de Impacto de Protección de Datos ?

evaluación de impacto de protección de datos y adecuación de protección de datos datadyser
¡Necesito realizar una Evaluación de Impacto de Protección de Datos!

¿Qué es una Evaluación de Impacto de Protección de Datos?

Una Evaluación de Impacto es una herramienta para evaluar cuestiones relacionadas con la privacidad o con el tratamiento de datos de carácter personal. Es un proceso diseñado para describir el tratamiento, evaluar su necesidad y proporcionalidad, y ayudar a gestionar los riesgos que pueden resultar para los derechos y libertades, evaluando tales riesgos y determinando las medidas más adecuadas para abordarlos. Las evaluaciones de impacto deben realizarse en base a un proceso sistemático, siguiendo un método, que sea repetible, objetivo y documentado.

La necesidad de realizar EIPD nace del artículo 35 del Reglamento General de Protección de Datos y, habitualmente, es recomendado por un Delegado de Protección de Datos.

Objetivos de la Evaluación de Impacto de Protección de Datos

El objetivo de realizar una Evaluación de Impacto de Protección de Datos es:

  • Describir el tratamiento
  • Evaluar su necesidad y proporcionalidad
  • Identificar los riesgos que puedan resultar para los derechos y libertades
  • Gestionar los riesgos detectados para reducirlos

Además, la Evaluación de Impacto de Protección de Datos es una herramienta para acreditar la aplicación del principio de «accountability«.

Fases para la realización de una Evaluación de Impacto de Datos Personales

Identificar el tratamiento y su finalidad

Realizar una descripción detallada del tratamiento

Identificar los riesgos y evaluar su probabilidad e impacto

Identificar medidas para reducir los riesgos y evaluar su eficacia

Documentar el proceso y los resultados obtenidos

¿Quién está obligado a realizar una Evaluación de Impacto de Protección de Datos ?

El Reglamento General de Protección de Datos establece que la Evaluación de Impacto de Datos Personales es obligatoria cuando el tratamiento de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías.

Además, el informe de la Agencia Española de Protección de Datos en relación con el “Plan de inspección sectorial de oficio en Hospitales Públicos”, de octubre de 2017, indica que la realización de las Evaluaciones de Impacto de Datos Personales es obligatoria de forma previa a la puesta en marcha de nuevos tratamientos que entrañen un alto riesgo

Por otra parte, el artículo 35.3 del RGPD establece que la Evaluación de Impacto de Datos Personales se requerirá en particular en el caso de:

  1. Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  2. Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
  3. Observación sistemática a gran escala de una zona de acceso público.

Así mismo, la Agencia Española de Protección de Datos, en el contexto del artículo 35.4 del Reglamento General de Protección de Datos, establece la necesidad de realizar una Evaluación de Impacto de Protección de Datos en los siguientes tratamientos:

  • Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus
    hábitos.
  • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o
    formar parte de un contrato.
  • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el
    procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  • Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  • Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  • Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  • Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  • Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de
    recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  • Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las
    excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

Solicitud de información

Si lo deseas puedes adelantarnos en qué podemos ayudarte y/o a qué te dedicas para ponernos en contexto antes de contactarte
Consentimiento protección de datos(Obligatorio)
Recibir el boletín de novedades de datadyser
Este campo es un campo de validación y debe quedar sin cambios.
Contacto
Servicios
Somos socios de
Asociados a la Asociación Profesional Española de la Privacidad
Somos agentes oficiales de
Pacto Digital para la Protección de las Personas AEPD
Logo datadyser