Los lectores habituales de este Blog ya estarán familiarizados con el concepto de «evaluación de impacto relativa a la protección de datos» (EIPD), un análisis de riesgos orientado de forma especial al tratamiento de datos de carácter personal. En artículos anteriores ya comentamos la importancia de realizar evaluaciones de impacto, no solo porque el RGPD nos exija hacerlo en determinadas ocasiones, sino también porque pueden ser una buena manera de evitar futuros problemas legales y sanciones.

Por ejemplo, señalamos dos casos de la vida real cuyas repercusiones se podrían haber evitado llevando a cabo previamente una EIPD. También recordamos -ahora que están en la boca de todos los sistemas de control laboral de los trabajadores- que la aplicación de tecnologías biométricas en el trabajo requerían asimismo una evaluación de impacto previa.

Pues bien, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado la lista oficial de tratamientos que requieren obligatoriamente realizar una evaluación de impacto previa. Es decir, el catálogo de actividades que no se pueden hacer sin antes llevar a cabo una EIPD.

Es posible leer esa lista en este enlace a la página de la AEPD

Como puede verse, no se trata de una lista concreta y fija. Más bien es una enumeración de «elementos de riesgo«. Lo que dice la AEPD es que si se cumple al menos dos de esas condiciones, la EIPD pasa a ser obligatoria. Y cuantas más condiciones se cumpla, más necesaria será la evaluación previa.

Algunas de esas condiciones son difíciles de cumplir para la mayoría de tratamientos. Por ejemplo, es poco probable que quien lea estas líneas se encuentre en una organización que haga «tratamientos que impliquen el uso de datos genéticos« (punto de verificación 6 en la lista de la AEPD). Otro tanto podría decirse, por ejemplo, de los tratamientos de «datos relativos a infracciones o condenas penales« (punto de verificación 4).

Sin embargo, sí que existen condiciones que pueden cumplirse con más facilidad. Por ejemplo:

• Tratamientos que impliquen el uso de datos biométricos (punto de verificación 5): quizá su sistema de control laboral de acceso identifique a usuarios con factores biométricos (huella dactilar, imagen, voz,…).
• «Procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como (…) aplicaciones móviles« (punto de verificación 3): si su organización tiene una «app» propia, y a través de la misma identifica al usuario, estaría dentro de esta categoría.
• Tratamientos que impliquen perfilado o valoración de sujetos (punto de verificación 1).
• Tratamientos que permitan determinar la situación financiera o de solvencia patrimonial (punto de verificación 4).
• Tratamientos que impliquen combinar registros de dos o más tratamientos que tenían finalidades distintas (punto de verificación 8).
• «Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas« (punto de verificación 10).
• Tratamientos de datos de sujetos vulnerables (punto de verificación 9): puede que piense que su organización no está haciendo estos tratamientos, pero tenga en cuenta que -según las altas instancias europeas en materia de protección de datos- los trabajadores son considerados sujetos vulnerables a los efectos del tratamiento de sus datos.
• Etcétera.

Como ve, no es tan difícil cumplir dos de estas condiciones; sobre todo en un mundo en el que las nuevas tecnologías cada vez llegan más lejos y nos permiten descubrir nuevos nichos de mercado y maneras innovadoras de ofrecer bienes y servicios.

Si su organización alcanza este mínimo de dos categorías de la lista de la AEPD, el tratamiento afectado necesita una evaluación de impacto. Y esa evaluación ha de hacerse incluso antes de empezar a diseñar dicho tratamiento.

Si se ve en esta situación y tiene dudas sobre cómo resolverla, póngase en contacto con nosotros y le ofreceremos la asesoría que necesita.

Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales.