El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

El RGPD establece en el artículo 35.2 los escenarios en las que la EIPD debe realizarse:

1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar
2. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10
3. observación sistemática a gran escala de una zona de acceso público

El RGPD contempla en su artículo 35.4. que “La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos …”

La Agencia Española de Protección de Datos para dar cumplimiento a esta norma y clarificar los escenarios, ha publicado un listado orientativo de los tratamientos que deben realizar Evaluación de Impacto previa al tratamiento y ha definido que será necesario hacer la EIPD en los casos en los que el tratamiento cumpla con dos o más criterios del listado que pasamos a comentar:

• ELABORACIÓN DE PERFILES: aquellos tratamientos que impliquen perfilado o valoración de sujetos incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento)
• TOMA DE DECISISONES AUOTMATIZADAS: tratamientos que impliquen dicha toma de decisiones
• OBSERVACIÓN, MONITORIZACIÓN, SUPERVISIÓN, GEOLOCALIZACIÓN O CONTROL DEL INTERESADO: cualquier tratamiento que implique alguna de estas acciones, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información
• USO CATEGORIAS ESPECIALES DATOS: aquellas tipificadas en el artículo 9.1 y 10 del RGPD, como son los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, y los datos relativos a condenas e infracciones penales
• DATOS BIOMÉTRICOS: son los datos relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona
• DATOS GENÉTICOS: para cualquier fin, datos relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona
• DATOS A GRAN ESCALA: (WP 243 rev.01) el RGPD no define cifras ni baremos que nos indiquen qué se entiende por “gran escala”, hay factores que pueden ayudar a determinarlo:

1. el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente
2. el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento
3. la duración, o permanencia, de la actividad de tratamiento de datos
4. el alcance geográfico de la actividad de tratamiento

• COMBINACIÓN REGISTROS DE BBDD CON FINALIDADES O RESPONSABLES DISTINTOS
• DATOS SUJETOS VULNERABLES: tratamientos de datos de menores de 14 años, sujetos en riesgo de exclusión social, mayores de edad con grado de discapacidad, discapacitados, personas que acceden a servicios sociales, víctimas de violencia de género y sus descendientes y personas que estén bajo su guardia y custodia
• NUEVAS TECNOLOGÍAS O TECNOLOGÍAS CON USO INNOVADOR: uso de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas
• TRATAMIENTOS SIN EJERCICIO DE DERECHOS: aquellos en los que los datos se han recopilado por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD

SITUACIONES COMUNES:

A continuación, presentamos algunos ejemplos comunes de tratamientos que entran en los supuestos obligatorios

• empresas o departamentos de selección de personal que realicen test psicotécnicos a los candidatos y a través de los resultados elaboren perfiles
• dispositivos que utilicen fuerzas comerciales o ejecutivos de empresas y que dispongan de geolocalización como medida de seguridad ante un robo o perdida
• control horario, realizado con sistemas de identificación o control de acceso y presencia a través de la huella dactilar
• datos de menores de 14 años, y de sujetos en riesgo de exclusión social
• datos de mayores de edad con grado de discapacidad, discapacitados, personas que acceden a servicios sociales