Evaluación de seguridad en los tratamientos de datos

• cuando elabores perfiles a partir de los cuáles se tomen decisiones que produzcan efectos jurídicos sobre los clientes o usuarios

• cuando realices tratamientos de datos sensibles pero a gran escala

• cuando realices una observación a gran escala de una zona de acceso público

Puedes considerar que un tratamiento se hace a gran escala teniendo en cuenta:

• el número de clientes o usuarios afectados

• el volumen de datos y la variedad de los mismos

• la duración o permanencia de la actividad de tratamiento

• la extensión geográfica de la actividad de tratamiento

El Reglamento General de Protección de datos (RGPD), prevé que la Agencia de Protección de Datos o los órganos competentes de las Comunidades Autónomas, elaboren listas sobre el tipo de operaciones de tratamiento que requerirán o no  evaluación de impacto.

Aunque la norma general sería que hicieses una evaluación por tratamiento, es posible, realizar una única para varios tratamientos que sea similares y que supongan también riesgos similares.

También tienes que tener en cuenta, que será necesario realizar una nueva evaluación de impacto cuando hayan cambiado las condiciones del tratamiento o varíen los riesgos o consecuencias derivadas de su aplicación.

Podrás solicitar el asesoramiento del delegado de protección de datos si éste ha sido nombrado para realizar la evaluación de impacto.

En estos casos el Reglamento General de Protección de Datos (RGPD) exige que realices una consulta previa a la Agencia de Protección de datos u organismos competente de las respectivas Comunidades Autónomas.

Así en esta consulta se detectara que con el tratamiento no se cumplen las exigencias legales, ni se hubiera identificado qué produce el riesgo y hubiera soluciones por parte del responsable del fichero o del tratamiento, en el plazo de 8 semanas desde la presentación de la consulta, se te deberá asesorar por escrito, a ti como responsable y también al encargado del tratamiento. Si el problema fuera complejo se podrá prorrogar el plazo seis semanas más.

En esta consulta deberás enviar la siguiente información:

• cuáles son las responsabilidades del responsables y de los encargados del tratamiento, sobre todo si forman parte de un grupo de empresas

• cuáles son los fines y medios para el tratamiento que se va a realizar

• cuáles son las medidas y garantías que se han tomado para proteger los derechos de los clientes o usuarios

• los datos de contacto del delegado de protección de datos

• la evaluación de impacto realizada

• otra información que pudiera solicitar la Agencia Española de Protección de Datos u organismo competente de la respectiva Comunidad Autónoma

La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos aunque,estar incluido en este listado, no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos.

Como no podía ser de otra manera, queda excluida de esta obligación cualquier tratamiento de datos en los que
estos no sean de carácter personal. Los tratamiento exentos de realizar una EIPD son:

• Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado
• Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las
  medidas y salvaguardas definidas en la EIPD
• Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una  misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
• Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD

• Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes

• Tratamientos realizados por comunidades y subcomunidades de propietarios

• Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles