La Agencia Española de Protección de Datos (AEPD) ha presentado su Guía para una Evaluación de Impacto en la Protección de Datos Personales, un documento con el que pretende promover que las organizaciones, sobre todo aquellas que hacen un uso más intensivo de los datos personales, no sólo cumplan la ley, sino que apliquen a sus políticas de privacidad nuevos enfoques proactivos.
Concepto y objeto de la evaluación de impacto
Según la Agencia, una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan.
Con este tipo de evaluaciones de impacto --una herramienta poco conocida en España pero plenamente asentada en países anglosajones--,se pretende que las cuestiones de privacidad y protección de datos se tomen en consideración desde la fase inicial del nuevo producto o servicio y se mantengan a lo largo de todo su ciclo de vida.
El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la protección de datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a la reputación y la imagen por un tratamiento inadecuado de los datos personales.
La Guía que se acaba de publicar proporciona un sistema estructurado en el que apoyarse para realizar una EIPD, incluyendo documentos, plantillas y anexos útiles.
Casos en los que se recomienda el análisis
La Guía para una Evaluación de Impacto en la Protección de Datos Personales indica algunas de las situaciones en las que sería recomendable llevar a cabo este análisis: cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización, o cuando se traten grandes volúmenes de datos a través de sistemas como el big data o la internet de las cosas, entre otros ejemplos.
Medidas para evitar los riesgos
La Guía también señala cómo pueden gestionarse los riesgos, facilitando un listado de medidas que podrían ser tomadas por la organización para evitarlos o mitigarlos. Un ejemplo de esos riesgos podría ser la utilización de los datos recogidos para finalidades no especificadas y que podrían permitir monitorizar el comportamiento, realizar perfiles o tomar decisiones económicas o sociales sobre las personas en función de la información
recopilada. La Agencia apuesta porque las organizaciones suministren información transparente y clara sobre los fines para los que tratarán la información, en particular, a través de una política de privacidad visible y accesible.
Efectos de la realización de la evaluación de impacto
Según la Agencia, aunque la realización de evaluaciones de impacto en las organizaciones no podrá ser considerada como un criterio de exención ante eventuales responsabilidades en caso de vulneración de la normativa de protección de datos, sí será tenida en cuenta por la AEPD como un elemento relevante para valorar si se ha adoptado la debida diligencia en la implementación de medidas para cumplir con las exigencias legales.
