Modelo de Evaluación de Impacto sobre la Protección de Datos (EIPD)

La Evaluación de Impacto relativa a la Protección de Datos (EIPD) es una herramienta preventiva establecida por el Reglamento General de Protección de Datos (RGPD) para identificar y mitigar los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de las personas. Su finalidad es garantizar que los tratamientos de datos se realicen de forma segura y conforme a la normativa vigente.

¿Qué es una EIPD?

La Evaluación de Impacto relativa a la Protección de Datos (EIPD) es un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, evaluándolos y determinando las medidas para abordarlos.

¿Cuándo es obligatoria una EIPD?

Según el artículo 35 del RGPD, la realización de una EIPD es obligatoria cuando el tratamiento de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. La Agencia Española de Protección de Datos (AEPD) ha publicado listas orientativas que detallan los tipos de tratamientos que requieren o no una EIPD.

Tratamientos que requieren una EIPD:

• Evaluación sistemática y exhaustiva de aspectos personales basada en tratamientos automatizados, incluida la elaboración de perfiles.
• Tratamiento a gran escala de categorías especiales de datos (como datos de salud, orientación sexual, opiniones políticas, etc.).
• Observación sistemática a gran escala de una zona de acceso público.

Estas listas pueden consultarse en la página oficial de la AEPD:

• Lista de tratamientos que requieren EIPD
• Lista de tratamientos que no requieren EIPD

Pasos para realizar una EIPD

La AEPD recomienda seguir una metodología estructurada para llevar a cabo una EIPD:

1. Descripción del tratamiento

• Definir la naturaleza, el alcance, el contexto y los fines del tratamiento.
• Identificar los datos personales que se tratarán y las operaciones previstas.

2. Evaluación de la necesidad y proporcionalidad

• Analizar si el tratamiento es necesario para alcanzar los fines propuestos.
• Evaluar si las medidas adoptadas son proporcionales al riesgo identificado.

3. Identificación y evaluación de riesgos

• Detectar los riesgos potenciales para los derechos y libertades de los interesados.
• Estimar la probabilidad y gravedad de estos riesgos.

4. Medidas para mitigar los riesgos

• Determinar las medidas técnicas y organizativas para reducir los riesgos.
• Establecer mecanismos de seguimiento y revisión de estas medidas.

Contenido mínimo de una EIPD

El RGPD establece que una EIPD debe incluir, al menos:

• Una descripción sistemática del tratamiento previsto y sus fines.
• Una evaluación de la necesidad y proporcionalidad del tratamiento.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales.

Herramientas y recursos disponibles

La AEPD ofrece diversas herramientas y modelos para facilitar la realización de EIPD:

• Modelo de informe de EIPD para el sector privado: Descargar
• Modelo de informe de EIPD para Administraciones Públicas: Descargar
• Herramienta Evalúa-Riesgo RGPD: Acceder
• Guía de gestión del riesgo y evaluación de impacto: Leer

Estas herramientas están diseñadas para ayudar a los responsables y delegados de protección de datos en la identificación y gestión de riesgos asociados al tratamiento de datos personales.

Conclusión

La realización de una EIPD es esencial para garantizar que los tratamientos de datos personales se lleven a cabo de manera segura y conforme a la normativa vigente. Los Delegados de Protección de Datos deben asegurarse de que se evalúan adecuadamente los riesgos y se implementan las medidas necesarias para mitigarlos, utilizando las herramientas y recursos proporcionados por la AEPD.