Todo tratamiento de datos personales implica un riesgo. Se considera como tratamiento a toda actividad que se realice con datos personales, incluyendo la recolección, conversión, uso y eliminación. El riesgo nace de la probabilidad de que se produzcan eventos negativos con los datos personales, tales como su robo, sustracción, alteración o eliminación.
Quienes lleven a cabo un tratamiento de datos personales deben identificar claramente los riesgos a los que se enfrenta, para poder mitigarlos, gestionarlos o asumirlos, a través de la adopción de diferentes medidas de seguridad. La identificación de los riesgos se la puede realizar mediante el análisis de riesgo, que ayudará a identificar los tratamientos de alto riesgo. Por su lado, las evaluaciones de impacto (en adelante “EIPD”) permitirán, sobre estos tratamientos calificados como de alto riesgo, evaluar posibles vulneraciones de derechos y los mecanismos para reducirlas.
La Ley Orgánica de Protección de Datos Personales (en adelante, la “LOPDP”)[1] estableció la obligación de contar con una metodología de riesgo y realizar una EIPD, cuyo objetivo es prever los impactos y riesgos en la privacidad de los titulares. Por tanto, la LOPDP exige que se implementen medidas de seguridad y control para garantizar los derechos y libertades de las personas[2].
I. ¿Qué es una EIDP?
El Reglamento a la Ley Orgánica de Protección de Datos Personales[3] (en adelante, el “Reglamento”), en concordancia con lo que el Grupo de Trabajo del Artículo 29[4] señala sobre las EIPD, define a la evaluación de impacto como un “[…] análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos, a efecto de determinar y mitigar posibles riesgos […]”[5].
II. ¿Cómo sé si se debe realizar una EIPD?
Según la LOPDP, una EIPD es obligatoria cuando el tratamiento de datos “conlleve un alto riesgo para los derechos y libertades del titular”. El artículo 42 de la LOPDP recoge algunos ejemplos de cuándo el procesamiento de datos puede generar altos riesgos:
1. Evaluación sistemática y exhaustiva de aspectos personales de personas naturales, que se base en un tratamiento automatizado (como la elaboración de perfiles) y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para tales personas
Por ejemplo, una institución financiera que investiga a sus clientes en una base de datos de referencia de crédito; o un programa de computadora que usa el historial de comportamiento de las personas privadas de libertad para determinar automáticamente si se les otorgará la libertad condicional[6].
2. Tratamiento a gran escala de las categorías especiales de datos a los que se refiere el artículo 25 de la LOPDP[7], o de los datos personales relativos a condenas e infracciones penales
El tratamiento a gran escala es aquel que afecta a una gran cantidad de datos y un número elevado de titulares, procedentes de una amplia diversidad geográfica[8]. El artículo 4 del Reglamento ofrece algunos ejemplos de tratamientos de gran escala:
- Datos de pacientes de hospitales e instituciones que conforman el Sistema Nacional de Salud.
- Datos de desplazamiento de personas que utilizan el sistema de transporte público.
- Datos de geolocalización en tiempo real.
- Datos de clientes de compañías de seguros, agentes, prestadores o de instituciones financieras.
- Datos para publicidad comportamental por un motor de búsqueda.
- Datos de contenido, tráfico, ubicación por proveedores de servicios de telefonía o internet.
3. Observación sistemática a gran escala de una zona de acceso público
Este tipo de observación[9] es un criterio para determinar el alto riesgo, porque los datos personales pueden ser recogidos en circunstancias en las que los titulares pueden no ser conscientes de quién está recopilando sus datos y cómo se usarán. Además, puede resultar imposible para las personas evitar ser objeto de este tipo de tratamiento en espacios públicos (o espacios de acceso público). Como ejemplo, se señala una cámara colocada en una vía pública para registrar y monitorear el comportamiento de los conductores.
A partir de estos ejemplos, se debe evaluar si es probable que un tratamiento de datos personales genera un alto riesgo. Esto es particularmente importante, puesto que no ejecutar una EIPD cuando resulte obligatoria conforme lo determinado por la LOPDP y el Reglamento podría constituir una infracción grave de la LOPDP y dar lugar a una multa de entre el 0.7% y el 1% de los ingresos correspondientes al ejercicio económico inmediatamente anterior al de la imposición de la multa.
III. ¿Qué debe contener una EIDP?
Una EIPD se debe realizar antes del inicio de las actividades de tratamiento de datos personales. Por ende, las empresas, como responsables del tratamiento deberían elaborar su EIPD antes y durante la planificación inicial de sus nuevos proyectos. En el artículo 32 del Reglamento, en concordancia con la experiencia internacional[10], se determina que la EIPD deberá ser presentada ante la autoridad de protección de datos y que deberá contener los siguientes puntos:
1. Descripción del tratamiento;
2. Evaluación de la necesidad y la proporcionalidad del tratamiento;
3. Identificar y evaluar los riesgos para los derechos y libertades de los titulares; y,
4. Medidas utilizadas para reducir y eliminar riesgos descritos en el punto iii.
La EIPD debe ser un proceso sistemático que aplique metodologías y métodos de ejecución objetivos, repetibles y comparables; en consecuencia, una EIPD se tiene que estructurar en diferentes fases. La LOPDP determina como una de las obligaciones de los responsables del tratamiento de datos personales utilizar metodologías adecuadas para el análisis y gestión de riesgos.
En resumen, la LOPDP y el Reglamento establecen ciertos ejemplos y criterios para determinar en qué casos se debe realizar de manera obligatoria una EIPD. Sin embargo, habrá que esperar las actuaciones de la Superintendencia de Protección de Datos, cuyo titular todavía no se nombra, para conocer la interpretación y desarrollo de los conceptos en la aplicación práctica de la LOPDP y el Reglamento.
[1] La LOPDP entró en vigor el 26 de mayo de 2021 y su régimen sancionatorio es de plena aplicación desde el 26 de mayo de 2023.
[2] El proceso de EIPD no es nuevo en el Derecho Comparado, en la UE se encuentra establecido en el Reglamento General de Protección de Datos. Además, se contempla en los ordenamientos jurídicos de Australia, México, Canadá, Japón, Sudáfrica, Corea del Sur, Estados Unidos y Nueva Zelanda, entre otros.
[3] Emitido mediante Decreto Ejecutivo número 904 de 6 de noviembre de 2023.
[4] Grupo de trabajo del artículo 29. (2017). Directrices sobre la evaluación de impacto relativa a la protección de datos. https://www.aepd.es/sites/default/files/2019-09/wp248rev01-es.pdf
[5] Artículo 29 del Reglamento.
[6] Agencia Española de Protección de Datos. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
[7] Datos de salud, sensibles, de niñas, niños y adolescentes y de personas con discapacidad.
[8] Artículo 29 del Reglamento.
[9] El Reglamento interpreta «sistemático» con uno o más de los siguientes significados:
- preestablecido, organizado o metódico;
- que tiene lugar como parte de un plan general de recogida de datos;
- llevado a cabo como parte de una estrategia.
[10] Directrices sobre la evaluación de impacto relativa a la protección de datos del Grupo de trabajo del artículo 29, Guía de Evaluación de Impacto en la Protección de Datos de la Autoridad Argentina de Protección de Datos, y, Guía para la elaboración de evaluaciones de impacto a la privacidad del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
Christian Razza
Asociado en CorralRosales
crazza@corralrosales.com
Rafael Serrano
Socio en CorralRosales
rserrano@corralrosales.com