La Agencia Española de Protección de Datos ha públicasdo una lista que enumera aquellos empresas que deben realizar una Evaluación de impacto en todos los casos aclarando algunas dudas, que aunque pueden ser evidentes a quienes somos consultores  y Abogados en Protección de Datos, no viene mal consultar y tenerlo claro. Además que nos parece una estupenda idea públicasrlo para que los lectores tengan claro el Artículo 35.1 que es el que materializa la obligación de realizar la Evaluación de impacto o EIPD

Esta lista se basa en los criterios establecidas por el Grupo de Trabajo del Artículo 29 en la guía WP248 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar  si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”, los complementa y debe entenderse como una lista no exhaustiva:

LISTAS DE TIPOS DE TRATAMIENTOS DE DATOS QUE REQUIEREN EVALUACIÓN DE IMPACTO RELATIVA A PROTECCIÓN DE DATOS (art 35.4)

1.     Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.

 SI HAY TRABAJADORES Y PERFILES DE EMPLEADO, QUEDA BASTANTE CLARO

2.     Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.

SI HAY DATOS FINANCIEROS O DE PERFIL DE COMPRAR, QUEDA BASTANTE CLARO.

3.     Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.

SI TENEMOS APPS, SERVICIOS DEPAGO POR CONSUMO, ETC

4.     Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial  o deducir  información sobre las personas relacionada con categorías especiales de datos.

SI REALIZAMOS ACTIVIDADES LEGALES O CON DOCUMENTOS LEGALES

5.     Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

SI UTILIZAMOS TECNOLOGÍAS DE SEGURIDAD, MEDICAS, ETC

6.     Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

 EVIDENTE

7.     Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.

ALGUNOS PORTALES WEB

8.     Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

SI CRUZAMOS DATOS PERSONALES

9.     Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardía y custodía.

SI ES UN PRODUCTO MASIVO Y PUEDEN ENTRAR MENORES.

10.  Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

SI INNOVAMOS EN RECOGIDA DE DATOS O HACEMOS ALGO NUEVO COMO NUEVAS FUNCIONALIDADES EN CRM O SIMILARES.

11.  Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

SI LA EMPRESA TIENE DERECHO DE EXCLUSIÓN, LO CUAL SUELE SER FRECUENTE EN PRODUCTOS QUE REQUIERAN FINANCIACIÓN.

FUENTE: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

Documento AEPD de empresas obligadas a realizar Evaluación de Riesgos e Impacto.

Otros artículos que te pueden interesar