Querido/a abogado/a,
En el marco de la nueva regulación de Protección de Datos introducido por el RGPD 679/16 de la U.E, reglamento de obligado cumplimiento y, que entrará definitivamente en vigor el 25 Mayo de 2018, formando parte de nuestro ordenamiento jurídico, los especialistas nos vemos obligados a renovar esfuerzos en desarrollar cambios importantes en cuanto al tratamiento de los Datos y, sobre todo, de los llamados datos especialmente protegidos.
Ya desde publicación de dicha norma y a la espera de que el anteproyecto de la LOPD vea la luz definitivamente, estamos trabajando con las nuevas directrices marcadas desde la UE, donde ya se pueden vislumbrar que vienen nuevos tiempos en cuanto al valor que se le da a la Privacidad y la protección de Datos personales en el sentido de exigir una Responsabilidad Proactiva en el tratamiento de los Datos. Es decir, se amplían responsabilidades y todos los sujetos intervinientes en el tratamiento de los Datos personales debiéndose garantizar y poner máximo esfuerzo y especial cautela en dicho tratamiento no siendo suficiente con la mera inscripción de ficheros en la AEPD sino obligando a hacer un estudio pormenorizado de cada proyecto en el que manejemos las denominadas categorías especiales de datos, previstas en el art. 9 , apartado 1, del RGPD, aquellos de “origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud (…)”.
Nos encontramos evidentemente en el presente proyecto de ISMA ante esa categoría de datos especialmente sensibles que habrán de ser protegidos, descritos según el art. 35 en de tal forma que: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas” indicando que “el responsable del tratamiento deberá, antes de llevar a cabo las operaciones de tratamiento, realizar una evaluación del impacto del tratamiento en la protección de los datos personales, es decir valorar si el riesgo es elevado o especialmente relevante lo que se traduce en la expresión de “alto riesgo” incidiendo especialmente en las características de esas nuevas tecnologías o la manera en que se pretenden utilizar
El WP 248 del GT29 (Grupo de Trabajo que genera jurisprudencia que nos va aclarando los nuevos conceptos incluidos en las distintas regulaciones sobre la materia) incluye un esquema que ilustra las cuestiones básicas relacionadas con las evaluaciones de impacto, desde la perspectiva del RGPD. Indicándose que si las operaciones de tratamiento, de carácter automatizado, implican llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas, por tanto incluyendo elaboración de perfiles y especialmente, si en base al resultado del tratamiento se toman decisiones que produzcan efectos jurídicos sobre el individuo o pueden considerarse tratamiento de datos a gran escala
Pues bien, estos datos requerirán ser objeto de evaluación desde la perspectiva del impacto que puedan tener en la protección de los datos personales, teniendo en cuenta hasta qué punto es probable que resulte un riesgo elevado para los derechos y libertades fundamentales de las personas cuyos datos personales son objeto de tratamiento.
Atendiendo al mismo GT29 en el WP 248 se describe como: “accountable for that task” la obligación del responsable del tratamiento es la llevar a cabo la EIPD” se trata de llegar a un resultado final de realizar una evaluación de impacto que no deja de ser un informe que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar los riesgos en base a la identificación, análisis y evaluación de estos (gestión de los riesgos), habiéndose analizado también cuestiones como el interés legítimo, la necesidad y la proporcionalidad de las operaciones.
Si no se lleva a cabo una EIPD, o esta se realiza de una manera inadecuada o insuficiente, resulta evidente que los tratamientos estarán expuestos a unos riesgos no detectados, por tanto no analizados, ni valorados, y en consecuencia no se habrán adoptado las medidas oportunas para gestionarlos (reducir los riesgos), que permitan mitigar los efectos negativos que las operaciones de tratamiento puedan tener para los derechos y libertades de las personas, por tanto potencialmente pueden lesionar el derecho a la protección de los datos de esas afectaciones negativas, en el caso de materializarse, pueden suponer la comisión de diversas infracciones (por ejemplo: incumplimiento de obligaciones o principios, o bien no atender adecuadamente a derechos de las personas afectadas) por parte del responsable del tratamiento o, en su caso, del encargado del tratamiento; del mismo modo que muy probablemente se pueden llegar a producir daños y perjuicios materiales o morales, algunos irreparables.
Ya podemos pues evidenciar que nos encontramos en el presente proyecto ante un conglomerado de tratamientos ya en su sea en su forma como en su contenido que van a necesitar una especial protección para poder disponer de una garantía adicional y para ello elaboraremos una EIPD
Como responsables del Tratamiento el ISME deberá elegir un procedimiento que cumpla determinados criterios o especificar e implementar un proceso de EIPD sistemático que:- se integre en los procesos existentes en la organización para el diseño, desarrollo, cambio, riesgo y revisión operacional, de acuerdo con los procesos internos, el contexto y la cultura de la organización e involucre a las partes relacionadas con el tratamiento y, en su caso, defina claramente sus responsabilidades (responsable, delegado de protección de datos, personas interesadas o sus representantes, empresas, servicios técnicos, encargados de tratamiento, responsables de seguridad de la información, etc.); - proporcionar el informe de EIPD a la autoridad de supervisión competente cuando así se requiera; - consultar a la autoridad de supervisión cuando no haya podido determinar medidas suficientes para mitigar los riesgos elevados; - revisar periódicamente la EIPD y el tratamiento que evalúa, al menos cuando se produzcan cambios que puedan modificar el riesgo que suponen las operaciones de tratamiento y finalmente documentar todas las decisiones adoptadas.
Desde nuestra organización garantizaremos vuestros datos con la realización de una EIPD en base a las recomendaciones de la guía Guia sobre la evaluación de impacto relativa a la protección de datos en el RPGD publicada por APDCAT (Autoridad Catalana de Protección de Datos) y presentada en Junio de 2017 para así hacer un estudio al más alto nivel de calidad y rigor científico y salvaguardando la necesaria privacidad de los datos recogidos en el mismo.
Eva de la Rubia Chamorro.
Responsable de protección de datos del ISME