Ya está. Ya lo tenemos aquí. Tras cuatro años de tramitación, el nuevo Reglamento General de la Protección de Datos de la Unión Europea ha sido finalmente aprobado por el pleno del Parlamento Europeo el pasado 14 de abril de 2016.
Esta norma, que será de aplicación directa en todos los países de la UE sin necesidad de transposición legal interna, trae muchas novedades que tendremos la oportunidad de analizar hasta su plena entrada en aplicación allá por 2018.
Una de las que más me ha llamado la atención es, sin duda, la nueva obligación de llevar a cabo una “Evaluación de Impacto relativa a la protección de datos” contemplada en el artículo 35 del nuevo texto jurídico.
¿Qué significa esta obligación?
Obviamente, recuerda bastante a la famosa “Evaluación de Impacto Ambiental” preceptiva en todo proyecto que pueda afectar el entorno medioambiental y no anda muy lejos, como veremos.
La Evaluación de Impacto de Protección de Datos se exigirá siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”. Como veis, un concepto muy ambiguo pero su definición tendrá una gran importancia en la práctica, pues obligará al responsable a realizar un detallado estudio previo, que no será sencillo.
Afortunadamente, el Reglamento nos da “pistas” sobre en qué casos concretos será exigible. De modo resumido, serían éstos:
- Tratamientos que impliquen una “evaluación sistemática y exhaustiva de aspectos personales”, con base tecnológica, como la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados;
- Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales y
- La observación sistemática a gran escala de una zona de acceso público.
Estos casos deberán ser concretados y publicados en una lista por parte de la autoridad de control, en nuestro país, la Agencia de Protección de Datos, la cual podrá también publicar la lista de los tipos de tratamiento que no requerirán dichas evaluaciones de impacto previas, de modo coherente con el resto de autoridades de la Unión Europea.
Y, ¿cómo se realiza la Evaluación de Impacto de Protección de Datos?
Para la elaboración de este estudio, el responsable del tratamiento deberá recabar el asesoramiento del llamado “delegado de protección de datos” o DPO, otra importante novedad del Reglamento, cuya contratación se exige para determinados tipos de entidades y situaciones.
En cualquier caso, el contenido mínimo de la Evaluación de Impacto deberá ser:
- La descripción detallada de lo siguiente:
- las operaciones de datos previstas,
- las distintas finalidades del tratamiento y
- En su caso, del interés legítimo perseguido por el responsable;
- Un análisis de la necesidad y la proporcionalidad de las antedichas operaciones de tratamiento en relación a su finalidad;
- La necesaria evaluación de los riesgos para los derechos y libertades de los interesados anteriormente mencionados, y
- Las medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos y demuestren el cumplimiento del Reglamento.
Otros contenidos adicionales, en su caso, serían:
- Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
- Recabo de la opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.
Finalmente, el Reglamento dispensa de realizar dicha Evaluación de Impacto si se trata de tratamientos que dimanen de una obligación legal y para los cuales se haya realizado ya una Evaluación de Impacto General con la adopción de su base jurídica.
Eso sí, si ya se ha realizado una Evaluación de Impacto de Protección de Datos y al menos cuando haya un cambio de riesgo posterior, el responsable deberá volver a revisarla y comprobar su conformidad con las nuevas circunstancias.
Según el resultado de la Evaluación, el responsable deberá actuar o no y, en su caso, incluso realizar una consulta previa ante la autoridad de control (nuestra Agencia Española de Protección de Datos) cuando se detecte un alto riesgo para los derechos de los afectados.
Sin duda, traerá cola.