“Privacy Impact Assessment” o Evaluación de Impacto en la Privacidad

En mi anterior entrada denominada “El futuro Reglamento General de Protección de Datos de la Unión Europea (o eso esperamos)” hablaba sobre los objetivos de esta regulación, el complicado proceso de aprobación y los retrasos que se están produciendo. También avancé que una de las materias y novedades más relevantes del futuro marco normativo es el concepto de “Privacy Impact Assessment” o Informe o Evaluación de Impacto en la Privacidad, que desarrollo a continuación.

En efecto, la Propuesta europea del Reglamento general de protección de datos (versión publicada el 25 de enero de 2012) regula en su art. 33 la evaluación de impacto relativa a la protección de datos estableciendo la obligación de que los responsables y encargados del tratamiento lleven a cabo una evaluación de impacto de la protección de datos (conocida internacionalmente como PIA o Privacy Impact Assessment) antes de efectuar determinadas operaciones de tratamiento cuando existan riesgos específicos para los derechos y libertades de los interesados con motivo de su naturaleza, alcance o fines. Por tanto, no se contempla actualmente la obligación de realizar en todos los casos dichas evaluaciones sino únicamente antes de realizar operaciones de tratamiento que presenten riesgos específicos.

A continuación en la Propuesta de Reglamento se detallan las operaciones de tratamiento que entrañan riesgos específicos. Tienen en común que son tratamientos de datos masivos o a gran escala y se refieren a los tratamientos exhaustivos de aspectos personales con el fin de analizar o predecir aspectos de su situación económica, preferencias, comportamiento, etc., tratamientos de datos especialmente protegidos como datos de salud, vida sexual y raza, tratamientos realizados mediante sistemas de videovigilancia de zonas de acceso público, tratamientos de datos de niños o de datos genéticos o biométricos así como otros tratamientos cuando la autoridad de control lo considere necesario.

El contenido mínimo de la evaluación deberá incluir una descripción general de las operaciones de tratamiento previstas, una evaluación de riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y la conformidad con el Reglamento.

Por otro lado, el art. 34 de la Propuesta de Reglamento regula la autorización y consulta previa, estableciendo que el responsable o encargado del tratamiento deberán consultar a la autoridad de control antes de efectuar un determinado tratamiento cuando, o bien la evaluación de impacto realizada ha dado como resultado un nivel de riesgo elevado, o bien cuando la operación de tratamiento se encuentre en un listado de operaciones que conllevan riesgos, que publicará la autoridad de control. Como resultado de la consulta, la autoridad de control podrá prohibir el tratamiento consultado o podrá formular propuestas para modificarlo. Para que la autoridad de control pueda evaluar la conformidad del tratamiento y los riesgos que conlleva, el responsable o encargado deberá facilitar a dicha autoridad de control la evaluación de impacto realizada. Y una de las tareas del Delegado de Protección de Datos, prevista en el art. 37, es supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o encargado y que, en su caso, se presentan cuando sean necesarias las solicitudes de autorización o consulta.

Sin embargo, la Propuesta del Reglamento de la Comisión Europea, del 25 de enero de 2012, ya ha sufrido modificaciones en la resolución legislativa del Parlamento Europeo, del 12 de marzo de 2014, en la que se han aprobado una serie de modificaciones o enmiendas a la versión inicial del Reglamento. El nuevo texto resultante es con el que se sigue negociando entre las partes implicadas y, como era de esperar, algunas de las enmiendas afectan a los PIA.

Así en la nueva versión se especifican las operaciones de tratamiento de datos que presentan riesgos específicos, similares a las incluidas en la primera versión, pero concreta nuevas situaciones como son el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses, o cuando un incidente de seguridad afecte probablemente a la protección de los datos personales, o cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales, etc. Y se establece que la evaluación deberá tener en cuenta la gestión de los datos personales durante todo el ciclo de vida, desde la recogida y el tratamiento hasta la supresión y establece el contenido mínimo que deberá incluir (descripción de las operaciones de tratamiento previstas, su necesidad y proporcionalidad, una evaluación de riesgos, medidas contempladas, plazos establecidos para la supresión de datos, categorías de destinatarios afectados, etc.)

La evaluación se documentará y se establecerá un calendario de revisiones periódicas. En efecto, a más tardar dos años después de llevar a cabo una evaluación de impacto, el responsable llevará una revisión del cumplimiento para demostrar que el procesamiento de datos objeto de PIA cumple con lo establecido en éste. Esta revisión se deberá realizar cada dos años, con lo que nos recuerda a nuestra obligación en la normativa española de protección de datos en relación con la auditoría reglamentaria bienal de las medidas de seguridad.

En la siguiente entrada en el Blog analizaré (con independencia del texto final que sea aprobado que con toda probabilidad incluirá el deber de realizar los PIA en determinadas circunstancias) qué es un PIA, en qué países surgió, para qué sirve y sus características principales, etc., así como el borrador presentado por la Agencia Española de Protección de Datos de la Guía para una Evaluación del Impacto en la Protección de Datos Personales, etc.