Evaluación de Impacto en la Protección de Datos Personales

Nuestra empresa se ha especializado, desde hace años, en realizar Evaluaciones de Impacto de Datos Personales, también conocidas por el acrónimo EIPD.

Si estás leyendo esto, lo más probable es que te afecte el nuevo Reglamento General de Protección de Datos y estés obligado a realizar una Evaluación de Impacto de Datos Personales en tu empresa. En ese caso, has llegado al lugar indicado. Nuestro despacho de abogados realiza Evaluaciones de Impacto de Datos Personales en todo el territorio español.

Abogados expertos en Evaluaciones de Impacto

Solicite su presupuesto personalizado ahora y recíbalo en menos de 2 días hábiles

1) ¿Qué comprende nuestro servicio de Evaluación de Impacto de Datos Personales?

La elaboración de una Evaluación de Impacto de Datos Personales es una tarea compleja que lleva su tiempo. Por regla general, nuestra Evaluación de Impacto de Datos Personales se finaliza en un plazo de uno a tres meses dependiendo de la empresa u organismo de que se trate.

Nuestra Evaluación de Impacto se divide en 7 fases diferencias:

a) Análisis preliminar sobre la necesidad de realizar una Evaluación de Impacto de Datos Personales.

En esta fase, realizaremos un breve examen sobre idoneidad de realizar una Evaluación de Impacto de Datos personales según el tipo de actividad de la empresa u organismo, el tipo de datos recabados y su tratamiento así como la finalidad de los mismos.

b) Descripción del ciclo de vida de los datos

En esta fase profundizaremos en los datos recabados desde su inicio hasta comprobar dónde acaban y que se hacen con ellos durante todo ese tiempo.

c) Análisis de la necesidad y proporcionalidad del tratamiento de esos datos personales.

En esta fase comprobaremos si es adecuado recabar todos los datos personales actuales y si el tratamiento que se le está dando a los mismos es insuficiente, excesivo o correcto.

d) Identificación de amenazas y riesgos.

En esta fase procedemos a identificar todas las amenazas y riesgos potenciales a los que pueden verse sometidos los datos personales debido al tratamiento que estamos usando actualmente.

e) Evaluación de los riesgos.

En esta fase procedemos a examinar la probabilidad de que se produzca cada uno de los riesgos que hemos identificado en la fase anterior.

Además, también se procederá a evaluar el impacto producido en caso de que se acabe materializando alguno de estos riesgos potenciales.

f) Tratamiento de los riesgos.

En esta etapa de la Evaluación de Impacto de Datos Personales, procederemos a dar una respuesta equilibrada a cada riesgo potencial identificado con el fin de reducir al máximo (o eliminar) la probabilidad de que éste de produzca así como reducir (o eliminar) el posible impacto de su materialización, garantizando en todo momento los derechos y libertades de las personas físicas de las cuales se están tratando sus datos personales.

g) Plan de acción.

En esta fase se realizará un informe final sobre el resultado de la Evaluación de Impacto de Datos Personales y el plan de acción que incluirá todas las medidas que se deberán implantar para combatir los riesgos identificados y reducir el impacto de los mismos y, en caso de proceder, consulta previa a la autoridad de control antes de proceder al tratamiento de datos personales.

Cabe indicar que una Evaluación de Impacto de Datos Personales analiza y trata lo relativo a datos personales en una fecha concreta, por lo que si se recaban, a posteriori, otro tipo de datos personales, se usan nuevos tratamientos de datos o se modifique o actualice algún aspecto relevante del tratamiento de datos, se deberá realizar una nueva Evaluación de Impacto de Datos Personales.

Así mismo, una Evaluación de Impacto de Datos Personales debe ser considerado como un proceso vivo, de mejora continúa, de tal forma que se revise periódicamente.

Una vez realizado el pago de nuestro servicio, nos pondremos en contacto con su empresa u organismo y concretaremos una o varias visitas a su sede para recabar toda la información necesaria. Para ello, necesitaremos una colaboración proactiva por parte del Delegado de Protección de datos o de la persona que se encargue del tratamiento de datos personales, tanto en la/s visitas presenciales como por correo electrónico o telefónicamente.

Recabada toda la información, elaboraremos la Evaluación de Impacto de Datos Personales y en unas semanas podremos entregársela para que su destinatario pueda efectuar las acciones indicadas para gestionar los riesgos identificados.

2) Precio de la Evaluación de Impacto de Datos Personales

El precio de nuestra Evaluación de Impacto de Datos Personales varía, sobretodo, en función de la cantidad de datos personales en tratamiento y del sector en el que opere la empresa u organismo.

Así pues, el precio de una Evaluación de Impacto de Datos Personales efectuada por nuestros abogados puede oscilar entre 830 a 14.600 euros.

Para conocer exactamente el precio de nuestra Evaluación de Impacto de Datos Personales para su empresa u organismo, puede solicitarnos un presupuesto.

3) ¿Qué es una Evaluación de Impacto de Datos Personales?

Debido a la gran evolución tecnológica experimentada en los últimos daños y las nuevas formas de usos y tratamientos de los datos personales, el Reglamento General de Protección de Datos a creado una herramienta de carácter preventivo para identificar, evaluar y gestionar los riesgos existentes en el tratamiento de datos personales con el fin de de proteger los derechos y libertades de las personas físicas estableciendo medidas de control y planes de actuación para reducir tales riesgos a un nivel aceptable. Esta herramienta es la Evaluación de Impacto de Datos Personales.

El contenido mínimo de una Evaluación de Impacto de datos debe, necesariamente, componerse de los siguientes apartados:

a) Descripción sistemática del tratamiento de datos personales empleado.
b) Evaluación de la necesidad de realizar una Evaluación de Impacto.
c) Identificación y evaluación de los riesgos en el tratamiento de datos personales.
d) Plan de acción conteniendo las medidas a aplicar para afrontar los riesgos identificados en el tratamiento de datos personales.

4) ¿Quién puede realizar una Evaluación de Impacto de Datos Personales?

La respuesta la encontramos en el artículo 35.2 del Reglamento General de Protección de Datos y dice lo siguiente:

«El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.»

Así pues, en caso de que una empresa u organismo disponga de un Delegado de Protección de Datos, la Evaluación de Impacto de Datos Personales podrá ser realizada por el mismo.

También es común que, en caso de que la empresa u organismo no disponga de Delegado de Protección de Datos, contraté los servicios de un despacho de abogados experto en protección de datos para la realización de la Evaluación de Impacto de Datos Personales.

5) ¿Cuándo se debe realizar una Evaluación de Impacto?

Lo primero que debemos tener presente es que no siempre estaremos obligados a realizar una Evaluación de Impacto de Datos Personales.

Como regla general, será obligatorio realizar una Evaluación de Impacto de Datos Personales cuando el tratamiento de datos pueda acarrear un riesgo alto para los derechos y libertades de los usuarios.

El Reglamento General en su artículo 35.3 establece los siguientes supuestos en los que será obligatorio realizar una Evaluación de Impacto de Datos Personales:

a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.

b) Tratamiento a gran escala de las categorías especiales de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificar a una persona, datos relativos a la salud, vida sexual u orientación sexual y datos personales relativos a condenas e infracciones penales.

Como esta enumeración  puede ser abrumadora y de difícil entendimiento vamos a proceder a realizar una clasificación más sencilla:

– ¿Cuándo es obligatorio realizar una Evaluación de Impacto de Datos Personales?

Aunque pueda parecer complicado determinar si estamos obligados a realizar una Evaluación de Impacto de Datos Personales, como regla general, es probable que debas realizar obligatoriamente una Evaluación de Impacto de Datos Personales si estás dentro de alguno de los siguientes supuestos:

a) Según la actividad de la empresa u organización

Si su empresa u organización pertenece al sector de sanidad, solvencia patrimonial y crédito, generación y uso de perfiles, actividades políticas, sindicales o religiosas, servicios de telecomunicaciones, seguros, entidades bancarias y financieras, actividades de servicios sociales,  publicidad (si su actividad va más allá de elaboración de anuncios o mensajes publicitarios implicando también el tratamiento de datos de carácter personal) o videovigilancia masiva (grandes infraestructuras como aeropuertos, estaciones de trenes o estaciones de autobuses).

b) Según el tipo de datos que su empresa u organización realiza tratamiento

Estará obligado a realizar una Evaluación de Impacto de Datos Personales si realiza tratamiento de datos que revenen origen étnico o racial, datos de opiniones políticas o religión, datos de afiliación sindical (excepto cuotas sindicales), datos genéticos, datos biométricos dirigidos a identificar de manera inequívoca a una persona, datos de salud física o mental, datos relativos a la vida sexual o a la orientación sexual, datos relativos a condenas o infracciones penales o datos relativos a la geolocalización de personas.

c) Según el tipo de tratamiento de datos personales realizado

Estará obligado a realizar una Evaluación de Impacto de Datos Personales si realiza alguno de los siguientes tratamientos: Hacer o analizar perfiles, hacer publicidad y prospección comercial masiva a potenciales clientes, prestación de servicios de explotación de redes públicas o servicios de comunicación electrónica (proveedor de servicios de internet (LGT)), gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, gestión control sanitario o venta de medicamentos o historial clínico o sanitario.

Si no realiza ningún supuesto de los anteriores tres  apartados, muy probablemente su tratamiento de datos personales de su empresa u organización supongan un escaso nivel de riesgo para los derechos y libertados de los interesados y no tendría obligación de realizar una Evaluación de Impacto de Datos Personales.

¿Cuándo no es obligatorio realizar una Evaluación de Impacto de Datos Personales?

Para ayudar a las empresas y organismos identificar si están obligados o no a realizar una Evaluación de Impacto de Datos Personales, la Agencia Española de Protección de Datos a elaborado una lista orientativa de tipos de tratamiento de datos que no requieren una Evaluación de Impacto de Datos Personales. Hay que remarcar que la Agencia Española de Protección de Datos indica que es una lista orientativa y su objetivo no es crear una lista de supuestos taxativa, sino que, simplemente, tiene un carácter informativo. Estos supuestos que no requieren una Evaluación de Impacto de Datos Personales son los siguientes:

– Tratamiento de datos que no sean de carácter personal. Para saber si un dato tiene el carácter de personal debemos atender a lo establecido en el RGPD como concepto de dato personal.

– Tratamiento de datos personales que se realizan bajo la supervisión o siguiendo las directrices establecidas por Autoridades de Control, como por ejemplo, la Agencia Española de Protección de Datos.

– Tratamientos de datos personales que se realizan estrictamente bajo directrices de códigos de conducta aprobados por las Autoridades de Control o por la Comisión Europea, siempre y cuando se haya realizado una Evaluación de Impacto para aprobar dicho código de conducta y se siga las medidas y planes de acción establecidas en esta Evaluación de Impacto.

– Tratamientos que sean indispensables para cumplir una obligación legal o situaciones afines, siempre que en dicho mandato no se obligue a realizar una Evaluación de Impacto y ya se haya realizado con anterioridad una Evaluación de Impacto de Protección de Datos completa.

– Tratamientos efectuados en el ejercicio profesional de trabajadores autónomo como abogados, médicos u otros profesionales de la salud, sin perjuicio que, según los datos recabados, pueda requerirse la realización de una Evaluación de Impacto de Protección de Datos.

– Tratamientos de obligado cumplimiento establecidos legalmente y relacionados con la gestión interna del personal de pequeñas y medianas empresas con la finalidad de contabilidad, nominas, recursos humanos, salud laboral y seguridad social, pero no los relaciones con los datos de sus clientes.

– Tratamientos efectuados por las comunidades y subcomunidades de propietarios.

– Tratamientos de datos personales llevados a cabo por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus asociados o donantes, siempre y cuando no se trate de datos personales sensibles.

6) ¿Qué sanción conlleva no realizar una Evaluación de Impacto de Datos Personales estando obligado a ello?

Hay que prestar especial atención a la posible obligación de realizar una Evaluación de Impacto de Datos Personales puesto que, en caso de no realizar una Evaluación de Impacto estando obligado a ello podemos recibir una sanción por parte de la Agencia Española de Protección de Datos.

Concretamente, no realizar una Evaluación de Impacto de Protección de Datos estando obligado a ello puede suponer una multa administrativa de diez millones de euros o, en caso de ser empresa, un importe equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.