Skip links

Cuándo hay que hacer una evaluación de impacto

El Reglamento General de Protección de Datos o RGPD consiste en una normativa europea aplicada desde el 25 de mayo de 2018 y que trae como novedad importante la evaluación de impacto relativa a la protección de datos.

¿Qué es una evaluación de impacto?

La evaluación de impacto o data protection impact assessment (DPIA) consiste en una herramienta para valorar el tratamiento de datos personales para así identificar las medidas de seguridad necesarias y quitar los riesgos asociados.

Este es un instrumento muy importante para garantizar la correcta adaptación de las empresas a todas las normativas de protección de datos, como la LOPD en 2019, además de una buena forma de demostrar que se está cumpliendo la ley si hay alguna inspección. Conviene conocer, además, en qué consiste la LOPDGDD.

El incumplimiento de las obligaciones sobre hacer la EIPD puede conllevar sanciones de las autoridades de control. Hay infracciones graves que pueden conllevar multas de hasta 10 millones de euros o el 2 % de la facturación anual como:

Tratar datos personales sin hacer previamente una EIPD, cuando sea exigible.

Hacer la evaluación de impacto de forma incorrecta.

No consultar a la autoridad de control cuando no puedan quitarse los riesgos en su totalidad.

 ¿Cuándo es obligatorio hacer la EIPD?

Hacer la evaluación de impacto de la protección de datos es obligatorio cuando se trata de tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas.

Aunque no se han concretado estos casos, la Agencia de Protección de Datos ha mostrado diversos criterios para indicar qué tratamientos precisan una EIPD obligatoriamente.

Las empresas que hagan un tratamiento que cumpla con dos o más criterios de la lista deberán hacer una evaluación de impacto:

– Tratamientos que cuenten con valoración o perfilado de personas que se refieran a varios aspectos de sus hábitos o personalidad.

– Uso de datos personales para la toma de decisiones automatizadas.

– Gestión de datos que incluya la observación, supervisión, monitorización, geolocalización o control de personas de manera exhaustiva y sistemática.

– Tratamientos que se refieran a categorías especiales de datos, datos relacionados con condenas o infracciones o datos que permitan descubrir la situación financiera o de solvencia patrimonial.

– Gestiones que impliquen usar datos biométricos para identificar a una persona.

– Tratamientos que impliquen usar de datos a gran escala.

– Operaciones que impliquen usar datos genéticos.

– Operaciones que impliquen la combinación, asociación o enlace de registros de bases de datos de dos o más tratamientos por responsables o con finalidades diferentes.

– Tratamientos de datos referentes a personas vulnerables o en riesgo de exclusión social.

– Usar datos personales que implique el uso de nuevas tecnologías o un nuevo uso de tecnologías consolidadas.

– Operaciones con datos personales que nieguen a los interesados ejercer sus derechos, usar un servicio o ejecutar un contrato.

Son estos los casos en los que se requiere realizar una evaluación de impacto obligatoriamente

Es importante hacer una evaluación de impacto en las empresas para poder conocer las medidas de seguridad necesarias evitando riesgos innecesarios. También se requiere para evitar las sanciones, pero sobre todo para poder mantener una buena seguridad de los datos personales en el sector empresarial.