GDPR 14. La evaluación de impacto


Josep Aragonés Salvat     08/09/2016

Evaluación de impacto en vez de notificar ficheros


La Directiva 95/46/CE y consecuentemente la LOPD establecieron la obligación de notificar los ficheros a la autoridad de control. El Reglamento reconoce en los considerandos 89 a 91 que esta medida no ha contribuido a mejorar la protección de datos personales y la sustituye por la obligación de realizar una evaluación de impacto cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de los interesados.

En este sentido, el Reglamento da competencia a las autoridades de control para establecer una lista de operaciones de tratamiento que requieren una evaluación de impacto y también de los tratamientos que no la precisen.

Por ahora, si no se tiene muy claro que se debe realizar una evaluación de impacto en los términos que indica el Reglamento, más vale esperar a que la AEPD establezca dicha lista y comprobar que el tratamiento lo requiera. La AEPD está trabajando en ello y seguro que más pronto que tarde tendremos definidos estos conceptos.

Obligación de realizar una evaluación de impacto


El Responsable del tratamiento será el encargado de evaluar el origen, la naturaleza, la particularidad y la gravedad de los riesgos del tratamiento y de diseñar medidas adecuadas para mitigarlos y garantizar la protección de datos, habida cuenta de la tecnología disponible y los costes de aplicación.

Según el artículo 35 del Reglamento (UE) 2016/679 de 27 de abril (GDPR), el Responsable del tratamiento deberá realizar una evaluación de impacto cuando:

  • Se utilicen nuevas tecnologías y su naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo.
  • El tratamiento se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo.
  • Se traten datos relativos a condenas y delitos penales.
  • Exista un tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.


Cuando el tratamiento contemple alguna de las 2 últimas opciones (condenas y delitos penales o gran escala) también será necesario designar un DPO.

Para más información sobre DPO y tratamientos a gran escala, consultar el artículo de este mismo web: Obligación de designar un DPO

Contenido de la evaluación de impacto


La evaluación de impacto deberá documentarse mediante:

  • Una descripción sistemática de:
  • Las operaciones de tratamiento previstas.
  • Los fines del tratamiento.
  • El interés legítimo perseguido por el RT.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Los mecanismos destinados a garantizar la protección de datos teniendo en cuenta los derechos e intereses de los interesados y los de otras personas afectadas.
  • Las medidas de seguridad previstas para afrontar los riesgos del tratamiento desde el diseño y por defecto en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.


Consideraciones relativas a la evaluación de impacto


Cuando exista un DPO, el Responsable deberá solicitar su asesoramiento para llevar a cabo la evaluación de impacto.

Una única evaluación de impacto podrá servir para abordar varias operaciones de tratamiento similares que planteen altos riesgos similares.

Cuando exista una evaluación de impacto general establecida por la legislación vigente, se podrá realizar una evaluación de impacto parcial basada en la general, cuando el tratamiento se efectúe por:

  • Una obligación jurídica del Responsable del tratamiento.
  • Una misión de interés público.


El Responsable del tratamiento deberá realizar una revisión de la evaluación de impacto cuando exista algún cambio en los riesgos del tratamiento.


Qué dice el GDPR


Considerando 89 GDPR
La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.


Considerando 90 GDPR
En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.


Considerando 91 GDPR
Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos. La evaluación de impacto relativa a la protección de datos debe realizarse también en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas físicas concretas a raíz de una evaluación sistemática y exhaustiva de aspectos personales propios de personas físicas, basada en la elaboración de perfiles de dichos datos o a raíz del tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. También es necesaria una evaluación de impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala, en particular cuando se utilicen dispositivos optoelectrónicos o para cualquier otro tipo de operación cuando la autoridad de control competente considere que el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efectúe sistemáticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria.


Seguimiento del curso Experto en el GDPR


Tema anterior: 13. Tratamiento de categorías especiales de datos Tema siguiente: 15. Transferencias internacionales de datos



Información relacionada