Читать книгу Derecho digital - José F. Estévez - Страница 16

El RGPD introduce un nuevo concepto en materia de protección de datos: la evaluación de impacto relativa a la protección de datos. A partir del 25 de mayo de 2017, las empresas deberán realizar una evaluación de impacto en el caso de que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Para cumplir con lo anterior, las empresas deberán por tanto hacer una “pre-evaluación” de todos sus tratamientos con el fin de determinar cuáles requieren ser objeto de evaluación y cuáles no. En todo caso, el artículo 35.3 del RGPD estables tres supuestos en los que resulta necesario realizar la evaluación de impacto, el artículo 35.4 obliga a las autoridades de control a establecer y publicar una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto y el artículo 35.5 permite a las autoridades de control establecer y publicar otra lista con supuestos que no requieran evaluación de impacto (ésta última, optativa, no obligatoria).

El contenido mínimo de la evaluación de impacto se recoge en el artículo 35.7 del RGPD y es el siguiente:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

La adhesión a códigos de conducta se tendrá en cuenta a la hora de valorar el riesgo y, cuando proceda, se recabará la opinión de los interesados en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

Si el tratamiento tiene su base jurídica en el Derecho de la Unión de algún Estado miembro y, antes de la misma, se realizó una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, no será necesario que el responsable del tratamiento vuelva a realizar una evaluación de impacto, salvo que el Estado miembro estipule lo contrario.

Una vez realizada la evaluación de impacto, si ésta muestra que el tratamiento de datos entraña un alto riesgo si el responsable no toma medidas para mitigarlo, éste deberá plantear una consulta previa a la autoridad de control (artículo 36 del RGPD).

La información que el responsable del tratamiento debe facilitar es la siguiente:

a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los derechos y libertades de los interesados;

d) en su caso, los datos de contacto del DPD;

e) la evaluación de impacto;

f) cualquier otra información que solicite la autoridad de control.

Recibida la consulta por la autoridad de control, éste tiene ocho semanas para asesorar por escrito al responsable y, en su caso, al encargado, en caso de que considere que el tratamiento podría infringir el RGPD. El plazo de ocho semanas se puede prorrogar seis semanas más, en función de la complejidad del tratamiento, si bien los plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.