Antes de explicarte qué es una EIPD o Evaluación de impacto de protección de datos, ten en cuenta que este tipo de evaluación relacionada con la privacidad va mucho más allá de un análisis de riesgos. Una EIPD es un análisis exhaustivo de los tratamientos de datos que se producirá o se están produciendo en la actividad.
Probablemente si eres autónomo o responsable de una PYME habrás oído hablar de la LOPD, el RGPD y las actualizaciones que este segundo supone para la primera. La adaptación a la LOPD actualmente es mucho más estricta y necesaria, por eso nosotros compartimos esta guía para entender qué es una EIPD, quién es necesario que la realice, y cómo realizarla.
Resumen del contenido
¿Qué es una EIPD?
El RGPD (Reglamento General de Protección de Datos) es el documento que recoge el concepto de EIPD en su artículo 35. Pero, ¿qué es una EIPD? Según la define el reglamento, la EIPD es un proceso a llevar a cabo de forma paralela a los principios de protección de datos para:
- Describir de manera anticipada y preventiva un tratamiento de datos personales
- Evaluar la necesidad y proporcionalidad del tratamiento de datos personales
- Gestionar los potenciales riesgos a los que se exponen los datos según las actividades a las que se dedica la empresa responsable del tratamiento
- Determinar las medidas necesarias para reducir los riesgos de la exposición de los datos a un nivel aceptable
El motivo por el que se debe realizar una EIPD es para demostrar de forma proactiva que la empresa gestiona adecuadamente los riesgos a los que expone los datos de terceros, y que se han tomado las medidas necesarias para cumplir con los requisitos que exige el RGPD.
¿Quién tiene que hacer una EIPD?
La AEPD realizó una Guía para la Evaluación de Impacto en la Protección de Datos Personales, pero ésta está más dirigida a las empresas que ya han realizado un esfuerzo en la evaluación del tratamiento de los datos. Aun así siguen considerando riesgos en su forma de hacerlo.
Dentro de la empresa, el encargado de realizar una EIPD es el Responsable de tratamiento de los datos, con la colaboración del Encargado de tratamiento (si procede) y, si lo hubiese, del Delegado de Protección de Datos.
Lo cierto es que el Reglamento Europeo no es demasiado concreto con respecto a los criterios que debe cumplir una empresa para requerir de la realización de una EIPD de forma obligatoria (lo que no quita que sea recomendable que se haga de forma voluntaria). Sin embargo, la AEPD ha publicado una lista de condiciones que recogen las empresas susceptibles de realizarla. Te vamos a dar unas nociones generales de esas condiciones dirigidas a las empresas para las que sí que es obligatorio realizar la EIPD:
- El tratamiento de datos personales que incluyan sus hábitos o aspectos psicológicos.
- Tratamiento de datos que incluyan la monitorización, control, localización y similares de terceros.
- Tratamiento de datos relativos a condenas, infracciones, situaciones financieras, solvencias patrimoniales o similares.
- Gestiones que recojan datos biométricos, genéticos.
- Tratamiento de datos a gran escala.
- Operaciones que asocien, combinen, relacionen bases de datos con diferentes entidades.
- Tratamientos de datos de personas en riesgo de exclusión social, vulnerables y similares.
¿Cuándo debe realizarse una EIPD?
Como explicamos antes, cuando hicimos referencia a qué es una EIPD, ésta debe realizarse previamente al tratamiento de los datos (para tratar de mitigar los riesgos y el impacto que una exposición de los mismos pueda tener tanto en la empresa como en terceros), pero también de manera periódica.
La EIPD debe considerarse como una herramienta continuamente actualizada y no como un ejercicio puntual que se lleva a cabo una vez y se da por finalizado el proceso. Siempre existen riesgos que pueden ser detectados y mitigados con la realización de una EIPD, pero eso no quiere decir que no puedan aparecer nuevos riesgos o que los y detectados se hayan conseguido mitigar del todo.
¿Por qué realizar una EIPD?
La finalidad principal de hacer esta evaluación es, como decíamos, tratar de mitigar los riesgos en el tratamiento de los datos, pero sin duda de lo que nos está protegiend0 es de las sanciones con las que castiga la AEPD a las empresas que no cumplen el RGPD.
El incumplimiento de las obligaciones sobre la realización de una EIPD, en caso de que sea esencial para la empresa, está sancionado con multas de hasta 10 millones de euros o el 2% de la facturación anual. En casos como por ejemplo:
- Tratar con datos personales sin EIPD previa en caso de ser obligatoria
- Llevar a cabo una EIPD de forma incorrecta
- No consultar a la autoridad de control al ser la empresa incapaz de garantizar un tratamiento de datos sin riesgos al 100%
Como hemos visto no sólo se sanciona el no realizar una EIPD en caso de que fuese necesario, sino que también se sanciona el realizarla de forma errónea o no ser capaz de implantar de forma correcta las medidas derivadas de la evaluación para la mitigación de riesgos. Es por esto que en caso de realizarse una EIPD ésta debe ser siempre llevada a cabo por profesionales, con experiencia y que conozcan a fondo cada caso particular.
En ExpertosLOPD® asesoramos a autónomos, PYMES y otras empresas para que conozcan en profundidad qué es una EIPD y si es necesario realizarla en su caso o, en caso de que no sea necesario, si es altamente recomendable. Nuestras EIPD son realizadas por juristas especializados y con doble seguro, de RC y ciberataques. Puedes conocer más sobre nuestra EIPD aquí o puedes ponerte en contacto con nosotros sin compromiso.
Última modificación el 1 junio, 2021 por Expertos LOPD