¿Qué es la Evaluación de Impacto de la Protección de Datos (EIPD)?

 En Derecho de las TIC
Legal. La Evaluación de Impacto de la Protección de Datos (EIPD) como una medida para cumplir con el nuevo Reglamento Europeo de Protección de Datos.

La Evaluación de Impacto de la Protección de Datos (EIPD) supone una obligación legal conforme con lo establecido en el art. 35 y 36 del RGPD y también constituye la base esencial sobre el que se asienta un proyecto de adaptación al Reglamento Europeo de Protección de Datos (RGPD).

Se sitúa en el ámbito de las medidas o acciones preventivas, puesto que se trata de un proceso de evaluación que se debe hacer antes de iniciar las operaciones de tratamiento de los datos personales, ya se trate de nuevos tratamientos o de continuar con los ya existentes; en este sentido, conecta con el concepto de privacidad en el diseño (privacy by design), que en el RGPD se identifica como “protección de datos desde el diseño”.

Esto supone que, tanto en el momento de definir las diferentes operaciones de tratamiento como en el de determinar y aplicar los medios que se utilizarán para tratar los datos personales, se tendrán en cuenta los principios, los derechos y las obligaciones que recoge la normativa que sea de aplicación a los tratamientos que se pretenden llevar a cabo.

Por lo tanto, una Evaluación de Impacto de la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio pueden entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlas o mitigarlas.

Por otra parte, con la Evaluación de Impacto se cumpliría con el principio de responsabilidad proactiva (accountability), que establece el RGPD en su art 5.2 puesto que facilita no sólo cumplir la norma, sino también poderlo demostrar.

Conclusión

La Evaluación de Impacto de Protección de Datos (EIPD) tiene una doble función:

  • Preventiva: dirigida a la identificación de los riesgos. Se trata de un proceso de evaluación que se debe de realizar antes de iniciar las operaciones de tratamiento de los datos personales. Por lo tanto, se trata de detectar, gestionar e intentar mitigar los riesgos que puedan suponer las operaciones de tratamiento para los derechos y libertades fundamentales de los interesados.
  • Probatoria, según la legislación europea es una herramienta importante para la prueba de cumplimiento ya que no solo ayuda a los responsables a cumplir con los requisitos de RGPD sino también permiten demostrar que han adoptado las medidas adecuadas para garantizar el cumplimiento del Reglamento.

Incumplimiento

El art. 83.4, letra a, del RGPD, prevé como infracción no cumplir con las obligaciones previstas en los artículos 35 y 36 del RGPD.

Si la EIPD es obligatoria y no se ejecuta, o se hace de una manera inadecuada o insuficiente, los tratamientos quedan expuestos a unos riesgos no detectados. No se habrán analizado ni valorado y, en consecuencia, no se habrán adoptado las medidas que deberían servir para mitigar los efectos negativos que las operaciones de tratamiento pueden tener para los derechos y las libertades de las personas.

Si se producen impactos negativos, esto puede suponer que el responsable o, si procede, el encargado del tratamiento cometan varias infracciones (por ejemplo: incumplimiento de obligaciones o vulneración de principios, o no atender adecuadamente derechos de las personas afectadas). Así mismo, es probable que se lleguen a producir daños y perjuicios materiales o morales, algunos irreparables, para las personas afectadas; en cualquier caso, la magnitud del perjuicio y el tipo infractor a aplicar dependen de cada caso.

Noticias Recientes