¿Cuándo se hace un tratamiento de datos de alto riesgo?

Una de las nuevas obligaciones que el RGPD impone, es la realización de una evaluación de impacto cuando exista alto riesgo para los derechos de los interesados.

El artículo 35 del Reglamento General de Protección de Datos, establece que se deberá realizar una evaluación de impacto cuando “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”

Es probable que el concepto de “entrañar un alto riesgo para los derechos y libertades de las personas físicas” suene poco concreto, provocando que tengamos dudas acerca de si esto se aplica a nuestra organización o no.

Es cierto que a lo largo del articulado del Reglamento, se identifican algunos tratamientos considerados de “alto riesgo”, pero obviamente no se contemplan todos los supuestos que a diario surgen en las organizaciones. Por ello, en este post hemos decidido exponer algunas reglas que nos ayuden a determinar si esta obligación aplica a nuestra compañía.

En primer lugar debemos definir qué es una evaluación de impacto. Es cierto que el Reglamento, no nos provee de una definición específica de este concepto, pero sí que nos dice que deberá contener:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados las medidas previstas para afrontar los riesgos.

Como decíamos antes, a lo largo del Reglamento se describen algunos supuestos considerados de “alto riesgo” además de venir recogidos en algunos documentos elaborados por la Autoridades de Control (WP 248). Entre otros, podemos destacar los siguientes tratamientos de alto riesgo:

  • Tratamientos que evalúen aspectos personales relativos a personas físicas, basados en tratamientos automatizados que produzca efectos jurídicos en dicha persona o le afecte significativamente, como por ejemplo cuando la decisión de obtener un crédito bancario se toma de forma automatizada por un programa de ordenador.
  • Tratamiento de datos de sectores vulnerables, por ejemplo en el sector de las relaciones laborales donde los trabajadores, debido a su relación de dependencia, pueden encontrar más barreras para oponerse a los tratamientos de sus datos por parte del empresario.
  • Tratamiento de datos sensibles: cuando se traten datos de carácter especial como datos penales, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos entre otros.
  • Monitorización sistemática: controles de vigilancia regular o por defecto, como en los casos de conducción o de seguridad, seguimiento del usuario en internet etc.
  • Transferencias internacionales de datos fuera de la Unión Europea.

Estos son algunos de los casos en los que tendremos que realizar análisis de impacto. No obstante, el propio Reglamento, establece que las Autoridades de Control, en nuestro caso la Agencia Española de Protección de Datos, están obligadas a publicar un listado de tratamientos de alto riesgo para ayudar a las compañías a determinar sus obligaciones. No contamos con esta herramienta, de momento, pero sí nos ofrecen alguna casuística:

  • Hospitales que hagan tratamientos de datos genéticos de salud.
  • El uso de sistemas de vigilancia para monitorizar la conducción y el comportamiento de los conductores.
  • Control empresarial a los empleados, sus actividades, comportamiento en internet etc.
  • Estudio de los perfiles en redes sociales para usos comerciales de las compañías.

De momento contamos con esta información, que si bien no es escasa, tampoco es suficiente para conseguir seguridad jurídica completa en las actividades de nuestra empresa. Será necesario contar con la visión y asesoramiento de profesionales que sepan identificar qué necesidades tiene nuestra compañía y pueda reducir el riesgo de sanción y el respeto de los derechos de los interesados.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Eduardo Martínez

Eduardo Martínez

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios