¿Cuándo debemos realizar una evaluación de impacto relativa a la protección de datos (EIPD)?

Respuesta

Se exige una EIPD cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. Se exige una EIPD por lo menos en los tres casos siguientes:

• la evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles,
• el tratamiento a gran escala de datos sensibles,
• la observación sistemática a gran escala de una zona pública.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD. Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual. Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

Ejemplos

EIPD obligatoria
Un banco que analiza a sus clientes utilizando una base de datos de referencia de crédito; un hospital antes de poner en funcionamiento una nueva base de datos de información sanitaria con los datos sobre la salud de los pacientes; un operador de autobuses antes de instalar cámaras a bordo para controlar el comportamiento de los conductores y pasajeros.

EIPD no obligatoria
Un médico de familia que trata datos personales de sus pacientes. En este caso, no debe realizarse una EIPD, porque el tratamiento por parte de los médicos de familia no se lleva a cabo a gran escala en los casos en que el número de pacientes es limitado.

Referencias

• Directrices del CEPD sobre la evaluación de impacto relativa a la protección de datos (EIPD)
• Artículos 35 y 36, y considerandos 89, 90, 91, 92, 93, 94, 95 y 96 del RGPD

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR