La evaluación de impacto en protección de datos conforme al art. 35 DSGVO es obligatoria para tratamientos de alto riesgo. Descubra cuándo se aplica, cómo estructurar el proceso y qué errores evitar.
Evaluación de impacto en protección de datos: ¿cuándo es obligatoria?
Pocos instrumentos del DSGVO generan tanta incertidumbre en la práctica como la evaluación de impacto en protección de datos (EIPD). Muchas empresas saben que existe, pero la cuestión de cuándo exactamente debe realizarse una EIPD y cómo debe concretarse queda frecuentemente sin respuesta. En caso de incumplimiento, se arriesgan multas considerables. Este artículo le ofrece una guía orientada a la práctica para clasificar correctamente la obligación de EIPD y estructurar el proceso de forma eficiente.
Base jurídica: art. 35 DSGVO en síntesis
La evaluación de impacto en protección de datos está regulada en el art. 35 del Reglamento General de Protección de Datos (DSGVO). Conforme al apartado 1, debe realizarse una EIPD siempre que un tipo de tratamiento de datos personales sea susceptible de entrañar un alto riesgo para los derechos y libertades de las personas físicas. Debe tenerse especialmente en cuenta el uso de nuevas tecnologías.
La EIPD no es un ejercicio puntual, sino un proceso continuo. Si las circunstancias del tratamiento cambian, la EIPD existente debe revisarse y, en su caso, actualizarse.
Distinción respecto del análisis de riesgos general
Una distinción importante: la EIPD va más allá del análisis de riesgos general que debería realizarse en cualquier caso en el marco de la gestión de protección de datos. Mientras que el análisis general abarca todas las actividades de tratamiento, la EIPD solo se aplica a los tratamientos con un riesgo previsiblemente alto. Es, por así decirlo, el examen en profundidad para los tratamientos de datos especialmente críticos.
¿Cuándo es obligatoria la EIPD?
Los tres supuestos tipo del art. 35, apdo. 3 DSGVO
El legislador establece en el art. 35, apdo. 3 DSGVO tres categorías en las que la EIPD es especialmente necesaria:
- Evaluación sistemática y exhaustiva de aspectos personales (elaboración de perfiles): comprende los tratamientos automatizados, incluida la elaboración de perfiles, sobre cuya base se toman decisiones que producen efectos jurídicos sobre personas físicas o las afectan de manera significativa.
- Tratamiento a gran escala de categorías especiales de datos: cuando se tratan a gran escala datos de salud, datos biométricos, datos sobre opiniones políticas u otros datos sensibles conforme al art. 9 DSGVO, debe realizarse una EIPD.
- Vigilancia sistemática a gran escala de zonas de acceso público: esto afecta especialmente a los sistemas de videovigilancia en espacios de acceso público.
La lista negra de las autoridades de control
Además de los supuestos tipo, las autoridades de control alemanas han publicado, conforme al art. 35, apdo. 4 DSGVO, una denominada lista negra (también llamada lista obligatoria). Esta lista contiene actividades de tratamiento concretas para las que debe realizarse obligatoriamente una EIPD. Entre los casos enumerados se encuentran:
- Uso de procedimientos de scoring para evaluar la solvencia
- Tratamiento a gran escala de datos de empleados para el control del comportamiento y del rendimiento
- Elaboración de perfiles exhaustivos sobre intereses, ubicaciones o movimientos de personas físicas
- Agregación de datos personales de diferentes fuentes (data warehousing)
- Uso de inteligencia artificial para el tratamiento de datos personales con el fin de dirigir la interacción con los interesados
- Tratamiento de datos sujetos a secreto social, profesional u oficial
La lista negra no es exhaustiva. También los tratamientos que no figuren en la lista pueden requerir una EIPD si conllevan un alto riesgo.
Ejemplos prácticos del día a día empresarial
Para hacer tangible la obligación de EIPD, he aquí algunos escenarios concretos:
- Videovigilancia en el puesto de trabajo: una videovigilancia amplia en oficinas o locales de producción requiere regularmente una EIPD, ya que los empleados son vigilados sistemáticamente.
- Seguimiento GPS de vehículos de empresa: si la ubicación de los vehículos de empresa se registra de forma permanente para controlar rutas u horarios de trabajo, existe una vigilancia sistemática.
- Preselección de candidatos mediante IA: la preselección automatizada de candidaturas mediante algoritmos constituye una elaboración de perfiles que activa la EIPD.
- Programas de fidelización con elaboración de perfiles: si se crean perfiles detallados de clientes a partir del comportamiento de compra, datos de ubicación e información demográfica, es necesaria una EIPD.
El proceso de EIPD paso a paso
Paso 1: análisis de umbral
Antes de realizar una EIPD completa, se recomienda un análisis de umbral. Esta comprobación preliminar sirve para determinar si realmente existe un alto riesgo y si es necesaria una EIPD. Documente cuidadosamente el resultado del análisis de umbral. También un resultado negativo (no se requiere EIPD) debe justificarse de forma comprensible.
Paso 2: descripción sistemática del tratamiento
Si se requiere una EIPD, comience con una descripción detallada de las operaciones de tratamiento previstas:
- Finalidad del tratamiento: ¿qué objetivo persigue?
- Tipos de datos: ¿qué datos personales se tratan?
- Personas afectadas: ¿a quién afecta el tratamiento?
- Destinatarios de los datos: ¿a quién se comunican los datos?
- Plazo de conservación: ¿durante cuánto tiempo se conservan los datos?
- Medidas técnicas y organizativas: ¿qué medidas de protección están previstas?
- Base jurídica: ¿sobre qué base legal se realiza el tratamiento?
Paso 3: evaluación de la necesidad y proporcionalidad
Examine si el tratamiento previsto es necesario y proporcionado en relación con la finalidad perseguida. ¿Existen medios menos invasivos que alcancen el mismo objetivo sin generar un riesgo tan alto para los interesados? Esta evaluación es un componente central de la EIPD y no debe resolverse de forma meramente formularia.
Paso 4: evaluación de riesgos
Evalúe los riesgos para los derechos y libertades de las personas afectadas. Tenga en cuenta:
- Probabilidad de materialización: ¿cuál es la probabilidad de que el riesgo se materialice?
- Gravedad del daño: ¿qué consecuencias tendría la materialización del riesgo para los afectados?
Los riesgos deben presentarse en una matriz que contemple tanto la probabilidad de materialización como la gravedad del daño. Las categorías de riesgo típicas incluyen: daños físicos, materiales o inmateriales, discriminación, usurpación de identidad, pérdidas financieras, daño reputacional o pérdida de confidencialidad.
Paso 5: definir medidas correctoras
Para cada riesgo identificado, debe definir medidas correctoras que reduzcan el riesgo a un nivel aceptable. Entre las medidas típicas se encuentran:
- Seudonimización y cifrado
- Restricciones de acceso y conceptos de autorización
- Revisión y eliminación periódicas
- Formación de los empleados
- Transparencia frente a los interesados
El papel del delegado de protección de datos
Conforme al art. 35, apdo. 2 DSGVO, debe recabarse el asesoramiento del delegado de protección de datos al realizar una EIPD, siempre que se haya designado uno. El delegado tiene una función consultiva. La responsabilidad de la realización de la EIPD y de las decisiones resultantes recae en el responsable del tratamiento, es decir, generalmente en la dirección.
En la práctica, es aconsejable involucrar al delegado de protección de datos desde el principio. Su experiencia puede contribuir a identificar riesgos tempranamente y a determinar las medidas correctoras adecuadas.
Consulta a la autoridad de control conforme al art. 36 DSGVO
Si la EIPD revela que el tratamiento, pese a todas las medidas correctoras, seguiría entrañando un alto riesgo residual, el responsable del tratamiento está obligado, conforme al art. 36 DSGVO, a consultar a la autoridad de control competente antes de realizar el tratamiento. Esta consulta previa es poco frecuente en la práctica, pero no debe pasarse por alto. La autoridad de control puede, en el marco de la consulta, formular recomendaciones o prohibir el tratamiento.
Documentación y vinculación con el registro de actividades de tratamiento
La EIPD debe documentarse de forma exhaustiva. Una documentación adecuada comprende:
- Descripción de las operaciones de tratamiento y sus finalidades
- Evaluación de la necesidad y proporcionalidad
- Resultado de la evaluación de riesgos
- Medidas correctoras previstas
- Dictamen del delegado de protección de datos
- Fecha y personas responsables
La EIPD debe vincularse además a su registro de actividades de tratamiento (art. 30 DSGVO). Idealmente, las entradas correspondientes del registro remiten a la EIPD asociada y viceversa. De este modo se crea una documentación de protección de datos coherente y completa.
Errores frecuentes en la práctica
Error 1: la EIPD se trata como mera formalidad
Muchas empresas elaboran una EIPD únicamente como ejercicio de cumplimiento, sin analizar realmente los riesgos en profundidad. Una EIPD de apariencia no resiste un examen por parte de la autoridad de control.
Error 2: falta de actualización
La EIPD no es un documento puntual. Si las circunstancias del tratamiento cambian, por ejemplo por el uso de nuevo software, nuevos destinatarios de datos o finalidades modificadas, la EIPD debe revisarse y adaptarse.
Error 3: no se involucra al delegado de protección de datos
Prescindir del delegado de protección de datos no solo constituye un error procedimental, sino que también desaprovecha una valiosa experiencia.
Error 4: sin análisis de umbral
Sin un análisis de umbral documentado, no podrá demostrar a posteriori por qué prescindió de una EIPD. Esto puede resultar problemático en caso de una inspección de la autoridad de control.
Conclusión
La evaluación de impacto en protección de datos es un instrumento indispensable de la gestión de protección de datos basada en riesgos. Protege no solo los derechos de las personas afectadas, sino también a su empresa frente a medidas regulatorias y daños reputacionales. Lo fundamental es considerar la EIPD no como un obstáculo burocrático, sino como una oportunidad para revisar y mejorar sistemáticamente los procesos de tratamiento de datos.
En compleneo apoyamos a las empresas en la implantación de un proceso de EIPD práctico, desde el análisis de umbral, pasando por la evaluación de riesgos, hasta la documentación completa. Consúltenos si tiene preguntas sobre la evaluación de impacto en protección de datos o necesita apoyo en su implementación.
