A poco más de 2 meses para que el RGPD resulte de aplicación en los estados miembros de la Unión Europea, y existiendo cierto desconocimiento de tal circunstancia por par parte de algunos operadores, la Agencia Española de Protección de Datos (AEPD) nos ha vuelto a sorprender positivamente con la reciente presentación nuevos materiales muy útiles para facilitar la labor de las empresas y organizaciones en su proceso de adaptación a la disposiciones de la normativa comunitaria. Me refiero, claro está,a la guía práctica de análisis de riesgos en los tratamientos de datos personales y, en segundo lugar, la guía de evaluación de impacto en la protección de datos .

Además de las mencionadas guías, en la página web de la AEPD, también podemos encontrar la herramienta “FACILITA” destinada a aquellas empresas que realizan tratamientos de datos personales que, en un principio, implican un escaso nivel de riesgo para los derecho y libertades de las persones y que, por lo tanto, no precisan de una Evaluación de Impacto en materia de Datos Personales (EIPD)

No obstante, y a pesar de lo anterior, lo cierto es que, a día de hoy, no disponemos de un listado de operaciones de tratamiento que requieran obligatoriamente de una evaluación de impacto relativa a la protección datos (art. 35. 4 RGPD) circunstancia que, como no es de extrañar, genera cierta incertidumbre entre los responsables y encargados del tratamiento. Pues bien, tal incertidumbre puede ser disipada acudiendo a las directrices del Grupo de Trabajo del Artículo 29 sobre las EIPD y, lo que considero más importe, para la determinación de si una activad de tratamiento puede dar lugar a un “alto riesgo” para los derechos y las libertades a los efectos de lo establecido en el Reglamento 2016/679.

De este modo, el GT29 facilita a las empresas y organizaciones 9 criterios para la determinación de lo que puede ser considerado como “riesgo alto” en las operaciones de tratamiento y que acto seguido se resumen:

1. Evaluación o puntuación, incluida la elaboración de perfiles y predicciones, especialmente de “aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado”.

2. Toma de decisiones automatizada con efectos jurídicos o significativamente similares: el tratamiento que tiene como objetivo tomar decisiones sobre los sujetos interesados produciendo “efectos jurídicos para las personas físicas” o que “les afecten significativamente de modo similar”

3. Monitoreo sistemático: el tratamiento utilizado para observar, monitorear o controlar a los sujetos interesados, incluyendo los datos recopilados a través de redes o “un control sistemático de un área de acceso público”. En estos casos, los datos personales pueden recopilarse en circunstancias en que los sujetos interesados pueden no darse cuenta de quién está recopilando sus datos y cómo serán utilizados. Además, puede ser imposible para las personas físicas evitar estar sujetos a este tratamiento en espacios públicos (o públicamente accesibles).

4. Datos sensibles o datos de naturaleza altamente personal: esto incluye categorías especiales de datos personales tal y como se definen en el Artículo 9 del RGPD así como datos personales relativos a condenas penales o infracciones ( art. 10 del RGPD).

5. Datos tratados a gran escala: el GT29 recomienda que, en particular, se tomen en consideración los siguientes factores para determinar si el tratamiento es a gran escala:

a. El número de interesados afectados ya sea como numero específico o como porcentaje respecto a la población pertinente;
b. El volumen de datos y/o el rango de diferentes elementos de datos que se procesan;
c. La duración, o permanencia, de la actividad de tratamiento de datos;
d. La extensión geográfica de la actividad de tratamiento.

6. Comparar o combinar conjuntos de datos, por ejemplo, procedentes de dos o más operaciones de tratamiento de datos realizados para diferentes finalidades y/o por diferentes responsables del tratamiento de datos de una manera que excedería las expectativas razonables del sujeto interesado

7. Datos relativos a sujetos vulnerables: En estos casos nos encontraremos con un desequilibrio de poder entre los sujetos interesados y el responsable del tratamiento de datos, lo que significa que las personas físicas pueden ser incapaces de acceder fácilmente a, oponerse, al tratamiento de sus datos, o a ejercer sus derechos.

8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de la huella dactilar y el reconocimiento facial o las aplicaciones del “Internet de las Cosas”

9. Cuando el tratamiento en sí mismo “impide a los sujetos interesados ejercer un derecho o utilizar un servicio o contrato”. Esto incluye las operaciones de tratamiento que tienen como objetivo el permitir, modificar o rechazar el acceso de los sujetos interesados a un servicio o llevar a cabo un contrato, por ejemplo, de préstamo bancario.

Tales directrices, junto con las guías de la AEPD anteriormente mencionadas, pueden resultar de gran utilidad para los responsables que se dispongan a realizar un análisis del riesgo de los tratamientos de datos personales llevados a cabo en el desarrollo de su actividad económica o empresarial con la finalidad de determinar si resulta necesario realizar una EIPD y, para el caso de que esta no se considere necesaria ( al no apreciarse un alto riesgo para los derechos y las libertades), documentar adecuadamente tal circunstancia para evitar sanciones y daños reputacionales.