La importancia del Análisis de Impacto (PIA o AIPD o DPIA)

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Es posible que la "evaluación de impacto sobre la protección de datos" (EIPD) se convierta en el símbolo del RGPD (en inglés, EIPD, Evaluación de Impacto sobre la Protección de Datos, o, abreviado, EIP, Evaluación de Impacto sobre la Privacidad). En cualquier caso, es la herramienta elegida para exigir responsabilidades a las empresas y evitar que actúen en detrimento de los consumidores. Al exigir un trabajo previo antes de cualquier operación de tratamiento de datos y, en su caso, la consulta con la autoridad de control, ofrece una sólida garantía de respeto a la privacidad. 

Se requiere una evaluación de impacto antes del tratamiento «cuando un tipo de tratamiento, en particular mediante el uso de nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda entrañar un alto riesgo para los derechos y las libertades de las personas físicas» (art. 35-1). Se especifica que un análisis puede referirse a varias operaciones de tratamiento similares que presenten el mismo tipo de alto riesgo. De estas disposiciones se deduce que, si no existe un «alto riesgo» o si ya se ha realizado un análisis para operaciones similares, este no es obligatorio (igualmente, cuando el tratamiento esté vinculado a una misión de interés público, excepción ya mencionada).

El concepto de "alto riesgo" no está definido expresamente, pero la CNIL especifica el de "riesgo para la privacidad". Se trata de un escenario que describe: un evento temido (acceso no autorizado, modificación no deseada o desaparición de datos, y sus posibles impactos en los derechos y libertades de las personas); todas las amenazas que permitirían que ocurriera. Se estima en términos de gravedad y probabilidad. La gravedad debe evaluarse para las personas afectadas, no para la organización. Este concepto es lo suficientemente vago y amplio como para considerar que el riesgo para la privacidad, por lo tanto elevado, corresponde a muchas operaciones de tratamiento.

El artículo 35-4 establece que la autoridad de control publicará una lista de operaciones que requieren un análisis. Mientras tanto, el G29 ha combinado diversos puntos del RGPD para llegar a una lista de nueve criterios (directrices del 4 de abril de 2017, modificadas el 4 de octubre de 2017), que podrían indicar que una operación de tratamiento puede generar un alto riesgo:

– “evaluación o calificación, incluidas las actividades de elaboración de perfiles o de predicción, relativas en particular a “aspectos relativos al rendimiento laboral, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, o la ubicación y los movimientos del interesado” (considerandos 71 y 91)”;

– “toma de decisiones automatizada con efectos jurídicos o de similar importancia”;

– “monitoreo sistemático”;

– “datos sensibles o de carácter altamente personal”. Esto puede incluir información sobre opiniones políticas, condenas penales, historiales médicos, pero también, según el G29, correos electrónicos, diarios y notas. Si la persona interesada ha hecho públicos datos de este tipo, se tendrá en cuenta.

– «datos tratados a gran escala». El concepto de gran escala no se especifica, pero el GT29 recomienda tener en cuenta el número de personas afectadas, el volumen de datos, la duración y el alcance geográfico del tratamiento.

– “cruzar o combinar conjuntos de datos”;

– “datos relativos a personas vulnerables (considerando 75)”, es decir, niños, empleados, personas que padecen enfermedades mentales, solicitantes de asilo, personas mayores, pacientes, etc.;

– “Uso o aplicación innovadores de nuevas soluciones tecnológicas u organizativas”. El G29 cita en particular el uso combinado del reconocimiento de huellas dactilares y facial, o el Internet de las Cosas;

– Tratamiento que impida a los interesados ejercer un derecho o beneficiarse de un servicio o contrato. El G29 pone como ejemplo un banco que verificaría a sus clientes con una base de datos de calificación crediticia antes de tomar decisiones de préstamo.

El G29 considera que el tratamiento que cumple dos de estos nueve criterios requiere una EIPD (aunque un solo criterio pueda ser suficiente). La CNIL ofrece un ejemplo: «Una empresa implementa un seguimiento de la actividad de sus empleados; este tratamiento cumple con el criterio de seguimiento sistemático y con el de datos relativos a personas vulnerables; por lo tanto, será necesaria la implementación de una EIPD».

El análisis debe contener, como mínimo: una descripción de las operaciones previstas, así como de los fines del tratamiento, una indicación de la proporcionalidad de las primeras con respecto a las segundas, una evaluación de los riesgos para los derechos y libertades de las personas afectadas y las medidas previstas para abordar dichos riesgos. La CNIL basa el análisis de impacto en dos pilares: una evaluación más jurídica sobre los principios no negociables y un estudio más técnico sobre las medidas previstas para proteger los datos. En sus guías de evaluación de impacto de la protección de datos (actualmente en revisión), sugiere aplicar el plan del RGPD (indicado al principio de este párrafo); cuando se actualicen, sin duda serán herramientas útiles para quienes necesiten elaborar dicho documento.

Se plantea la cuestión de si es necesaria una evaluación de impacto para los tratamientos ya implementados a partir del 25 de mayo de 2018. El RGPD no responde a esta pregunta, pero la CNIL sí. «No se requerirá una evaluación de impacto para: los tratamientos que hayan sido objeto de un trámite previo con la CNIL antes del 25 de mayo de 2018; los tratamientos que se hayan inscrito en el registro de un corresponsal de «protección de datos y libertades»». Sin embargo, después de tres años, los tratamientos implementados regularmente deberán someterse a una evaluación de impacto, siempre que exista un «alto riesgo» para los interesados.  

Al final de estas directrices, la CNIL añade la siguiente frase: «La implementación de una EIPD constituye, en todos los casos, una buena práctica que facilita el proceso de cumplimiento de las condiciones sustanciales previstas por el RGPD». Dado que la CNIL es la autoridad de control en Francia, este consejo no debe pasarse por alto en términos de buenas prácticas. Sobre todo porque el G29 afirma: «En caso de duda sobre la necesidad de realizar una EIPD, dado que las EIPD son una herramienta importante para que los responsables del tratamiento cumplan con la legislación en materia de protección de datos, el G29 recomienda realizarla de todas formas». El grupo de trabajo europeo añade finalmente que la EIPD es obligatoria cuando «los riesgos asociados han evolucionado».

Asimismo, no son inútiles sus indicaciones respecto a los profesionales que deben participar en la realización del análisis de impacto: el responsable del tratamiento (que es el responsable), el subcontratista si lo hay, el delegado de protección de datos (veremos quién es), los propietarios y directores de proyecto, el responsable de seguridad de los sistemas de información, así como, eventualmente, las personas interesadas, a las que se puede consultar su opinión mediante un cuestionario.

Es el artículo 35-7 del RGPD el que define el contenido mínimo de un análisis de impacto:

– una descripción sistemática de las operaciones previstas y de los fines del tratamiento;

– una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines;

– una evaluación de los riesgos para los derechos y libertades de las personas afectadas;

– las medidas previstas para hacer frente a los riesgos y aportar pruebas del cumplimiento de la normativa.

El G29 proporciona ejemplos de metodología en un apéndice a su análisis de la AIPD. La CNIL acaba de publicar guías con un método y un catálogo de buenas prácticas, así como software PIA de código abierto. Por lo tanto, ya no hay excusas para incumplir las nuevas obligaciones.

Una vez completada la evaluación de impacto, el tratamiento puede iniciarse o el responsable del tratamiento debe consultar a la autoridad de control «antes del tratamiento, cuando una evaluación de impacto sobre la protección de datos realizada con arreglo al artículo 35 indique que el tratamiento presentaría un alto riesgo si el responsable del tratamiento no adoptara medidas para mitigarlo» (artículo 36-1). El apartado 2 del mismo artículo estipula que, en caso de consulta previa, la autoridad de control dispone de 8 semanas (+6 semanas en casos de complejidad) para emitir su dictamen.

La evaluación de impacto puede publicarse, con el objetivo de fortalecer la confianza en la empresa, pero esto no es una obligación.

La falta de realización de una evaluación de impacto o una evaluación realizada incorrectamente puede dar lugar a una multa de hasta 10 millones de euros o, para una empresa, 2.100 millones de euros de su facturación mundial, lo que sea mayor.