Las evoluciones de impacto relativas a la protección de datos

AUTOR: Isabel García García

FECHA: 16.04.2019

El Reglamento (UE) 2016/679, “General de Protección de Datos”, introduce en su artículo 35 el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD). Una EIPD es un proceso concebido para describir un tratamiento de datos concreto, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados de dicho tratamiento. Las EIPD son una herramienta importante de responsabilidad proactiva, ya que ayudan a los responsables a demostrar que se han tomado medidas adecuadas en los tratamientos para garantizar el cumplimiento del Reglamento.

Las Evaluaciones de Impacto relativas a la Protección de Datos (en adelante, “EIPD”) constituyen una herramienta que permite, de forma previa, evaluar e identificar los potenciales riesgos para la protección de los datos que pudieran afectar a los derechos y libertades de los individuos en el desarrollo de un tratamiento concreto y adoptar las medidas adecuadas para mitigarlos. En otras palabras, una EIPD es el proceso, que se materializa en un informe, por el cual se valoran los riesgos que puede causar un determinado tratamiento de datos personales y el impacto que tendrían, en caso de materializarse, en la privacidad de las personas cuyos datos son tratados, con el fin de establecer las salvaguardias necesarias para mitigarlos o reducirlos lo máximo posible, y todo ello de forma previa al desarrollo de dicho tratamiento.


Así nos dice el apartado 1 del artículo 35 del Reglamento (UE) 2016/679, de 27 de abril, “General de Protección de Datos” (en adelante, “RGPD”): “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”.


Es decir, el RGPD prevé que las EIPD se lleven a cabo antes de iniciar el tratamiento de los datos personales en aquellos casos en los que sea probable que exista un alto riesgo para los derechos y libertades de los interesados, titulares de los datos personales afectados.


Más aun la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) establece la obligación general de los responsables y encargados de valorar, en primer lugar, la procedencia de realizar una EIPD en los tratamientos de datos que realizan y contiene un listado de supuestos y riesgos concretos que se deben considerar la hora de evaluar la necesidad de realizar una EIPD.


¿Es obligatoria la realización de una EIPD en ciertos supuestos?

Si bien el RGPD deja un amplio margen a los responsables y encargados a la hora de valorar si procede o no la realización de una EIPD para un determinado tratamiento de datos, el apartado 3 del referido artículo 35 del RGPD sí que establece la obligación, en cualquier caso, de llevar a cabo una EIPD en una serie de supuestos:

  1. Si la empresa quiere realizar evaluaciones sistemáticas y exhaustivas de aspectos personales de personas físicas, que se basen en un tratamiento automatizado, como la elaboración de perfiles, y sobre las cuales se vayan a tomar decisiones que produzcan efectos jurídicos para dichas personas o que les afecten significativamente de modo similar;
  2. Si la empresa va a llevar a cabo tratamientos a gran escala de categorías especiales de datos (del artículo 9 RGPD, por ejemplo, datos relativos a la salud), o de los datos personales relativos a condenas e infracciones penales (del artículo 10 RGPD);
  3. Cuando la empresa vaya a realizar un tratamiento basado en la observación sistemática a gran escala de una zona de acceso público.
    Sin perjuicio de ello, el apartado 4 del referido artículo 35 RGPD establece además la obligación para las autoridades de control de cada Estado miembro de publicar una lista de tratamientos de datos que, obligatoriamente, requerirán una EIPD. Estas listas deben ser comunicadas al Comité Europeo de Protección de Datos (en adelante, EDPB, por sus siglas en inglés), que fue creado por el artículo 68 del RGPD.


Si bien en el caso de España la lista definitiva aún no ha sido publicada, el pasado 12 de marzo publicó el EDPB su Opinión  sobre los tratamientos incluidos en el primer borrador de la lista que ha sido remitido por nuestra autoridad de control.
En esta Opinión, el EDPB considera que el borrador remitido por la Agencia Española de Protección de Datos (AEPD) puede llevar a una aplicación inconsistente de los requisitos para llevar a cabo una EIPD e insta a la misma a introducir dos tratamiento de datos que no han sido tenidos en consideración y que, por su naturaleza, pueden efectivamente suponer un alto riesgo para los derechos y libertades de los interesados: 1) el tratamiento de datos biométricos dirigidos a identificar unívocamente a una persona física y 2) el tratamiento de datos genéticos, siempre que, en ambos casos, se hagan en conjunción con, al menos, otro tratamiento incluido en la lista.

Por otro lado, el RGPD establece un contenido mínimo del informe al que hacíamos referencia sobre la EIPD realizada por una entidad:

  • una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  • una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  • una evaluación de los riesgos para los derechos y libertades de los interesados, y
  • las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.


Una vez realizada la EIPD, podría suceder que efectivamente se haya identificado un alto riesgo  que el responsable considere que no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación. Ante dicha situación, se deberá consultar a la autoridad de control competente (AEPD) para que bien emita las recomendaciones necesarias o bien prohíba el tratamiento analizado.