Guía de la APDCAT sobre la evaluación de impacto del GDPR


Francisco Canalda     27/06/2017

Ideas clave de la guía para la evaluación de impacto relativa a la protección de datos


El procedimiento de evaluación será de obligado cumplimiento para las empresas que tratan datos que pueden suponer un alto riesgo para los derechos y las libertades de las personas, especialmente cuando hacen una evaluación sistemática y exhaustiva de aspectos personales de personas, tratan categorías especiales de datos a gran escala o hacen una observación sistemática a gran escala de zonas de acceso público.

La evaluación de impacto es el instrumento esencial para aplicar el principio de responsabilidad proactiva (accountability) del nuevo reglamento, ya que no sólo facilita que se cumpla la norma, sino también poder demostrarlo.

El método de trabajo que propone esta guía para hacer evaluaciones de impacto se estructura en seis fases y está conectado con el concepto de protección de datos desde el diseño: análisis previo, descripción sistemática del tratamiento, gestión de riesgos, informe de evaluación de impacto, supervisión de la implantación y revisión del tratamiento respecto de la AIPD.

El delegado de protección de datos puede ser quien plantee al responsable del tratamiento la necesidad de hacer la evaluación de un tratamiento de datos. Además, le corresponde dar el apoyo metodológico necesario, valorar si la gestión del riesgo es ajustada a las características de los riesgos del tratamiento y ayudar a determinar si el riesgo residual es aceptable. Además, debe contribuir a que el responsable del tratamiento tome conciencia del contexto y supervisar que el AIPD está implementado correctamente.

El resultado final de una evaluación de impacto es un informe, que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar los riesgos, a partir de la identificación, análisis, valoración y tratamiento (gestión de riesgos), y una vez analizadas cuestiones como el interés legítimo (en su caso) o la necesidad y la proporcionalidad de las operaciones de tratamiento.