Por fin la Agencia Española de Protección de datos ha publicitado su Listado de tratamientos tipo que requieren de una evaluación de impacto, después de que el Comité Europeo de Protección de Datos haya emitido su dictamen favorable.
¿En que situación deja esta publicación las Evaluaciones de Impacto? Recordemos que las Evaluaciones de impacto son necesarias en tres situaciones (Artículo 35.3 RGPD) :
- Cuando se elaboren de perfiles o, se realicen evaluaciones sistemáticas, exhaustivas y de manera automatizada sobre aspectos personales de las personas físicas.
- Cuando se traten a gran escala de las categorías especiales de datos o datos sobre infracciones penales.
- Cuando exista una observación sistemática y a gran escala de zonas de acceso público
Pero además de estas 3 situaciones el RGPD en su artículo 35.4, prevé que las autoridades de control pueden publicar listas de tratamientos tipos en las que habría que realizar esas evaluaciones. Y es precisamente lo que ha hecho la Agencia pero, con matices:
- No es propiamente una lista de tratamientos, sino más bien una lista de criterios para saber si estamos ante un tratamiento que conlleve una Evaluación de Impacto.
- Está basada, y así lo reconoce la Agencia, en los criterios establecidas del Grupo de Trabajo del Artículo 29 en su Guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD” .
- No es una lista cerrada, ya que la propia Agencia señala que «debe entenderse como una lista no exhaustiva» .
- Es necesario que dos o mas criterios de la lista concurran para que sea necesaria la Evaluación de Impacto.
Estos 11 criterios que se han publicitado por parte de la Agencia Española de Protección de datos son:
- Tratamientos que impliquen perfilado o valoración de sujetos : Se incluye recogida de datos en varios ámbitos de su vida ( por ejemplo, desempeño en el trabajo, personalidad y comportamiento) o que cubran varios aspectos de su personalidad o sus hábitos. Este criterio, más que un criterio nuevo, nos ayuda a interpretar, en mi opinión, la letra a del artículo 35.3 del RGPD.
- Tratamientos que impliquen en mayor o menor medida la toma de decisiones automatizadas, como por ejemplo, o los que impidan a una persona interesado el ejercicio de un derecho, el acceso a un bien o un servicio o formar parte de un contrato.
- Tratamientos que impliquen el control en sentido amplio ( observación, monitorización, supervisión, geolocalización) de la persona interesada de forma sistemática y exhaustiva. Se incluyen la recogida de datos y metadatos en zonas de acceso público, o el tratamiento de identificadores únicos identifiquen a personas usuarias de servicios de la sociedad de la información (ejemplo, los servicios web, TV interactiva, aplicaciones móviles, etc).
- Tratamientos de concretos tipos de datos sensibles: las categorías especiales de datos, datos relativos a condenas o infracciones penales, datos que permitan determinar la situación financiera o de solvencia patrimonial o datos que permitan deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos de datos biométricos para identificar de manera única a una persona física. Precaución con los sistemas de control horario derivados del Real Decreto-Ley 8/2019 que impliquen el uso de la huella, ya que cumpliría con este criterio de la lista.
- Tratamientos de datos genéticos
- Tratamientos que impliquen el uso de datos a gran escala. En este punto la AEPD hace una remisión directa a la Guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
- Tratamientos en los que se asociación, combinen o enlacen registros de bases de datos de dos o más tratamientos con finalidades diferentes o de por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social. Se incluyen los datos de menores de 14 años, o mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género y los datos de así como sus descendientes y personas o que estén bajo su guardia y custodia. En este punto, el tratamiento de datos que hacen los Servicios Sociales de las Administraciones Públicas podrían estar cumpliendo con este criterio.
- Tratamientos que utilicen nuevas tecnologías Se incluyen en este criterio, los tratamientos con un uso innovador de tecnologías existentes, la utilización de tecnologías a una nueva escala, o con un nuevo objetivo o combinadas con otras, «de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas«.
- Tratamientos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato. Se incluyen en este criterio, la recogida de datos por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información según el RGPD:
- cuando existan esfuerzos desproporcionados a la hora de informar (particularmente en tratamiento de datos con fines de investigación científica o histórica o fines estadísticos),
- la obtención del dato o la comunicación de los esté expresamente establecida en una norma legal y que establezca medidas adecuadas para proteger los intereses legítimos de la persona interesada o,
- cuando los datos personales tengan carácter confidencial sobre la base de una obligación de secreto profesional.
Por tanto, como podemos concluir que, si se está esperando una lista pormenorizada de tratamientos, nada más ajeno de la realidad, sino que habrá que realizar un análisis previo del tratamiento en cuestión para ver si se encaja en en dos o más de los 11 criterios expuestos de la lista, para conocer si la Evaluación de Impacto es necesaria o no.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Colegio de la Abogacía de Bizkaia
http://www.gontzalgallo.com
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Entre Códigos Civiles y Androides 