Con la llegada del nuevo reglamento RGPD aparece una nueva obligación en su artículo 35, la realización de EIPD´s o lo que es lo mismo, evaluar el impacto que las operaciones de tratamiento puedan tener sobre la protección de los datos personales, cuando esas operaciones puedan poner en riesgo, de manera significativa, los derechos y libertades de las personas (en adelante EIPD, o en sus siglas en inglés DPIA).

Formarán parte de las medidas o acciones preventivas y como tales, con carácter general, deberán realizarse antes de iniciar las operaciones de tratamiento de los datos personales. El RGPD como filosofía de trabajo parte del concepto de “privacy by design”, esto significa que debemos enfocarnos en la protección de los datos desde el diseño del propio tratamiento, desde el primer instante en el que comenzamos a definir qué datos personales vamos a manejar, que operaciones, medios y actores intervendrán en el mismo; todo ello para gestionar los riesgos que puedan suponer esas operaciones para con los derechos y libertades fundamentales de las personas interesadas.

El responsable del tratamiento está obligado a tener en cuenta esta “privacidad de datos por diseño y defecto”, debiendo definir y aplicar para cada uno de los tratamientos todas las medidas técnicas y organizativas adecuadas para garantizar que:

• los datos personales objeto de tratamiento sean solo los necesarios para cada uno de los fines específicos del tratamiento (minimización de datos, art. 5.1.c del RGPD)
• los datos se recojan para fines determinados, explícitos y legítimos, evitando que con posterioridad se puedan utilizar en otros tratamientos incompatibles con dichos fines (limitación de la finalidad, art. 5.1.b)
• los datos se conservarán exclusivamente el tiempo necesario para los fines del tratamiento y no más dl necesario (limitación del plazo de conservación, art. 5.1.e)
• deberemos garantizar la seguridad de los datos tratados para evitar, tratamientos o accesos no autorizados o ilícitos (confidencialidad, art. 5.1.f)

El RGPD nos indica la realización de forma obligatoria cuando:

• los tratamientos automatizados impliquen llevar a cabo una evaluación “sistemática y exhaustiva” de aspectos personales relativos a personas físicas, incluyendo la elaboración de perfiles para la toma de decisiones
• existan tratamientos a gran escala de las denominadas categorías especiales de datos, previstas en el art. 9, apartado 1, del RGPD
• se realice una observación sistemática a gran escala de áreas de acceso público

Todo este nuevo escenario inicialmente se nos puede presentar como un reto complejo y burocrático, sin embargo, para los grupos de trabajo del RGPD recogidas en el WP248 nos indican que:

“Los responsables del tratamiento deben percibir la realización de una EIPD como una actividad útil y positiva que ayuda a cumplir con la legalidad”

“La EIPD representa una parte fundamental del cumplimiento del Reglamento cuando se planifican o realizan operaciones de tratamiento de alto riesgo”

Nuestra posición y planteamientos frente a los tratamientos que realizamos podrán convertirlos en auténticas oportunidades de demostrar nuestro cumplimiento