¿Cuándo necesitamos hacer una DPIA?

Buscar artículo

El artículo 35(1) dice que debe realizar una DPIA cuando se trata de un tipo de procesamiento.probable que resulte en un alto riesgoa los derechos y libertades de las personas:

"Cuando un tipo de tratamiento, en particular utilizando nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento, antes al procesamiento, llevar a cabo una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales. Una sola evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan riesgos altos similares".

El riesgo en este contexto se refiere al potencial de cualquier daño físico, material o no material significativo a las personas. Consulte ¿Qué es una DPIA? para obtener más información sobre la naturaleza del riesgo.

Para evaluar si algo es de "alto riesgo", el RGPD del Reino Unido deja claro que debe considerar tanto la probabilidad como la gravedad de cualquier daño potencial a las personas. 'Riesgo' implica una posibilidad más que remota de algún daño. 'Alto riesgo' implica un umbral más alto, ya sea porque el daño es más probable, o porque el daño potencial es más grave, o una combinación de ambos. Evaluar la probabilidad de riesgo en ese sentido es parte del trabajo de una DPIA.

Sin embargo, la pregunta para estos fines de selección inicial es si el procesamiento esde un tipo que probablemente resulte enun alto riesgo

El RGPD del Reino Unido no define "probabilidad de resultar en alto riesgo". Sin embargo, el punto importante aquí no es si el procesamiento es realmente de alto riesgo o si es probable que resulte en daño; ese es el trabajo de la propia DPIA para evaluar en detalle. En cambio, la pregunta es una prueba de detección de más alto nivel: ¿existen características que apuntan al potencial de alto riesgo? Está buscando señales de alerta que indiquen que necesita hacer una DPIA para analizar el riesgo (incluida la probabilidad y la gravedad del daño potencial) con más detalle.

El Artículo 35 (3) enumera tres ejemplos de tipos de procesamiento que requieren automáticamente una DPIA, y el ICO ha publicado una lista bajo el Artículo 35 (4) que establece diez más. También existen directrices europeas con algunos criterios para ayudarle a identificar otros posibles tratamientos de alto riesgo.

Esto no significa que estos tipos de procesamiento siempre sean de alto riesgo o que siempre puedan causar daños, solo que existe una posibilidad razonable de que puedan ser de alto riesgo y, por lo tanto, se requiere una DPIA para evaluar el nivel de riesgo con más detalle.

Si su procesamiento previsto no se describe en el RGPD del Reino Unido, el artículo 35 (3) de la lista ICO o las pautas europeas, en última instancia, depende de usted decidir si su procesamiento es de un tipo que probablemente resulte en alto riesgo, teniendo en cuenta la naturaleza , alcance, contexto y finalidades del tratamiento. Si tiene alguna duda, siempre le recomendamos que realice una DPIA para garantizar el cumplimiento y fomentar las mejores prácticas.

El artículo 35, apartado 3, establece tres tipos de procesamiento que siempre requieren una DPIA:

«a) toda evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se base en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos en la persona física o que la afecten significativamente de forma similar.»

«b) el tratamiento a gran escala de categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10.»

"c) un seguimiento sistemático de una zona de acceso público a gran escala".

El grupo de trabajo del artículo 29 de las autoridades de protección de datos de la UE (WP29) publicó directrices con nueve criterios que pueden actuar como indicadores de procesamiento de alto riesgo probable:

Para obtener más orientación sobre estos factores, lea las pautas WP29 (WP248). Brindan antecedentes sobre el razonamiento de los indicadores de alto riesgo y ejemplos de procesamiento que probablemente resulten en alto riesgo.

En la mayoría de los casos, una combinación de dos de estos factores indica la necesidad de una DPIA. Sin embargo, esta no es una regla estricta.

Es posible que pueda justificar una decisión de no llevar a cabo una DPIA si está seguro de que, no obstante, es poco probable que el procesamiento resulte en un alto riesgo, pero debe documentar sus razones.

Por otro lado, en algunos casos, es posible que deba realizar una DPIA si solo está presente un factor, y es una buena práctica hacerlo.

Lectura adicional - Consejo Europeo de Protección de Datos

El WP29 elaboró ​​directrices sobre las evaluaciones de impacto de la protección de datos, que han sido aprobadas por el EDPB.

Enlace externo

El ICO está obligado por el artículo 35 (4) a publicar una lista de operaciones de procesamiento que requieren una DPIA. Esta lista complementa y especifica aún más los criterios a los que se hace referencia en las directrices europeas. Algunas de estas operaciones requieren una DPIA automáticamente, y algunas solo cuando ocurren en combinación con uno de los otros elementos, o cualquiera de los criterios de las Directrices europeas mencionadas anteriormente:

También debe tener en cuenta que las autoridades de protección de datos de otros estados miembros de la UE publicarán listas de los tipos de procesamiento que requieren una DPIA en su jurisdicción.

En más detalle: orientación de ICO

Para ver ejemplos indicativos de operaciones que requieren una DPIA y más detalles sobre qué criterios son de alto riesgo en combinación con otros, lea nuestra lista de operaciones de procesamiento "que probablemente resulten en alto riesgo".

Enlace externo

El considerando 91 dice que la tecnología innovadora se refiere a nuevos desarrollos en el conocimiento tecnológico en el mundo en general, en lugar de tecnología que es nueva para usted, y su uso puede desencadenar la necesidad de llevar a cabo una DPIA. Esto se debe a que el uso de dicha tecnología puede implicar formas novedosas de recopilación y uso de datos, posiblemente con un alto riesgo para los derechos y libertades de las personas. Las consecuencias personales y sociales de implementar una nueva tecnología pueden ser desconocidas, y una DPIA puede ayudar al controlador a comprender y controlar tales riesgos.

Ejemplos de procesamiento utilizando tecnología innovadora incluyen:

No es solo la tecnología de punta la que podría clasificarse como innovadora. Si un controlador implementa la tecnología existente de una manera nueva, esto podría generar altos riesgos que, a menos que se realice una DPIA, no se identificarán ni se abordarán. Por ejemplo, hacer una DPIA como parte de un proyecto para diseñar e implementar un sistema de base de datos a gran escala que procese los detalles del cliente podría:

La lista ICO de operaciones de procesamiento de alto riesgo requiere una DPIA si su procesamiento involucra tecnología innovadora en combinación con otro criterio de las pautas europeas (por ejemplo, evaluación o puntuación, o datos confidenciales).

Sin embargo, en algunos casos, puede decidir que su uso previsto de tecnología innovadora requiere una DPIA sin ningún otro factor. Como responsable del tratamiento, si no se aplica ninguna obligación obligatoria, usted es responsable de evaluar si es probable que el tratamiento previsto resulte en un alto riesgo.

Otras lecturas

Lea nuestro artículo sobre papel sobre big data, inteligencia artificial, aprendizaje automático y protección de datos. Contiene más orientación sobre la aplicación de estas tecnologías en un contexto de protección de datos.

Enlace externo

Una vez más, el RGPD del Reino Unido no define "sistemático" o "sistemático y extenso".

Hay alguna orientación sobre el significado de 'sistemático' en las directrices europeas sobre las disposiciones de DPO. Las pautas de DPO dicen que 'sistemático' significa que el procesamiento:

El término 'extensivo' implica que el procesamiento también cubre un área grande, involucra una amplia gama de datos o afecta a una gran cantidad de personas.

Lectura adicional: Consejo Europeo de Protección de Datos

El grupo de trabajo del artículo 29 de las autoridades europeas de protección de datos ha adoptado Directrices sobre los delegados de protección de datos ('RPD') (WP243) que contienen orientación sobre el significado del término 'sistemático'.

Enlace externo

El RGPD del Reino Unido no define el concepto de un efecto legal o significativo similar. Sin embargo, las directrices del grupo de trabajo del artículo 29 sobre esta frase en el contexto de las disposiciones sobre elaboración de perfiles ofrecen más orientación.

En resumen, es algo que tiene un impacto notable en un individuo y puede afectar significativamente sus circunstancias, comportamiento o elecciones.

Un efecto legal es algo que afecta el estado legal o los derechos legales de una persona. Un efecto significativo similar podría incluir algo que afecte el estado financiero, la salud, la reputación, el acceso a los servicios u otras oportunidades económicas o sociales de una persona.

Las decisiones que tienen poco impacto generalmente podrían afectar significativamente a las personas más vulnerables, como los niños.

En más detalle: orientación de ICO

Lea nuestra guía sobre creación de perfiles y toma de decisiones automatizada para obtener más información sobre efectos legales y efectos significativos similares.

Lea nuestra guía sobre niños y el RGPD del Reino Unido para obtener más información sobre los efectos significativos específicamente con respecto a los niños y sus datos personales.

Lectura adicional: Consejo Europeo de Protección de Datos

Lea las Directrices del WP29 sobre elaboración de perfiles y toma de decisiones individual automatizada a efectos del Reglamento 2016/679 (WP251). Contienen orientación sobre efectos legales y efectos significativos similares.

Enlace externo

El 'procesamiento invisible' se produce cuando obtiene datos personales de un lugar que no es directamente de la propia persona y no le proporciona la información de privacidad requerida por el artículo 14. El procesamiento es 'invisible' porque la persona no sabe que usted está recopilar y utilizar sus datos personales, incluso si publica un aviso de privacidad en su sitio web.

Este procesamiento genera un riesgo para los intereses de la persona, ya que no puede ejercer ningún control sobre el uso que usted haga de sus datos. En particular, no pueden ejercer sus derechos de protección de datos si desconocen el procesamiento. Esto es cierto incluso si es poco probable que el procesamiento en sí tenga algún efecto negativo.

También puede correr el riesgo de infringir los requisitos de equidad y transparencia del primer principio de protección de datos si la persona no puede prever razonablemente el procesamiento, o cualquier resultado del mismo.

Por estas razones, el procesamiento de esta manera solo está permitido por el RGPD del Reino Unido en circunstancias limitadas. Estos incluyen dónde proporcionar la información de privacidad pruebaimposibleo implicaría unesfuerzo desproporcionado.

Las circunstancias en las que es imposible proporcionar privacidad solo surgirán en raras ocasiones, por ejemplo, cuando no tenga detalles de contacto de las personas y no tenga medios razonables para obtenerlos.

Es importante que pueda demostrar el cumplimiento del derecho de las personas a estar informadas. Por lo tanto, si está proponiendo operaciones de procesamiento que involucran el uso de datos obtenidos de terceros, primero debe considerar cuidadosamente si puede proporcionar información de privacidad a las personas. Si pretende basarse en la excepción por esfuerzo desproporcionado, debe poder justificarlo y debe tomar otras medidas para proteger los derechos de las personas. En particular, aún debe publicar su información de privacidad y llevar a cabo una DPIA.

Su DPIA lo ayudará a evaluar y demostrar si está adoptando un enfoque proporcionado. Le ayudará a considerar cuál es la mejor manera de mitigar el impacto en la capacidad de las personas para ejercer el control sobre sus datos y si puede tomar otras medidas para respaldar el ejercicio de sus derechos. También le ayudará a demostrar cómo cumple con los requisitos de equidad y transparencia.

En más detalle: orientación de ICO

Lea la guía del ICO sobre el derecho a ser informado, que incluye una sección sobre el esfuerzo desproporcionado y otras excepciones y exenciones.

Lectura adicional: Consejo Europeo de Protección de Datos

Consulte las directrices del WP29 sobre Transparencia, que han sido aprobadas por el EDPB.

Enlace externo

Las personas pueden ser vulnerables cuando las circunstancias pueden restringir su capacidad para consentir u oponerse libremente al procesamiento de sus datos personales, o para comprender sus implicaciones.

Lo más obvio es que se considera que los niños son vulnerables al procesamiento de sus datos personales, ya que pueden ser menos capaces de comprender cómo se utilizan sus datos, anticipar cómo esto podría afectarlos y protegerse contra cualquier consecuencia no deseada. Esto también puede ser cierto para otros sectores vulnerables de la población, como las personas mayores o aquellas con ciertas discapacidades.

Incluso si las personas no forman parte de un grupo que usted podría considerar automáticamente vulnerable, un desequilibrio de poder en su relación con usted puede causar vulnerabilidad a efectos de protección de datos si creen que estarán en desventaja si el procesamiento no continúa.

Un grupo que puede considerarse vulnerable en este sentido son los empleados. Las directrices europeas sobre DPIA (WP248) explican por qué los empleados pueden ser considerados sujetos de datos vulnerables cuando un desequilibrio de poder significa que no pueden consentir u oponerse fácilmente al procesamiento de sus datos por parte de un empleador. Este tipo de vulnerabilidad también podría surgir debido a la situación financiera de una persona (p. ej., calificación crediticia) o el contexto específico del procesamiento (p. ej., pacientes que reciben atención médica). El procesamiento de datos de personas que pueden considerarse vulnerables es uno de los criterios en European directrices para el procesamiento que probablemente resulte en alto riesgo. Si cree que su procesamiento involucrará a personas vulnerables, entonces se requerirá una DPIA si se involucra cualquiera de los otros criterios u operaciones en nuestra lista.

Ejemplo

Una empresa de ventas proporciona automóviles de la empresa para sus empleados y tiene la intención de implementar vehículos con funciones de seguimiento de ubicación, lo que permite a los gerentes monitorear el movimiento y el paradero de sus empleados en todo momento. Los empleados también pueden utilizar los vehículos para fines privados fuera del horario laboral.

El tratamiento pretende rastrear la geolocalización de cada individuo, en un contexto en el que son vulnerables a un desequilibrio de poder con el responsable del tratamiento. Entonces esto involucra el requisito de una DPIA para identificar y mitigar los riesgos a los derechos y libertades de los empleados.

Enlace externo

En más detalle: orientación de ICO

Lea nuestra guía sobre niños y el RGPD del Reino Unido para obtener más información sobre el consentimiento y las protecciones adicionales para los niños.

Lectura adicional: Consejo Europeo de Protección de Datos

El WP29 elaboró ​​directrices sobre las evaluaciones de impacto de la protección de datos, que han sido aprobadas por el EDPB.

Lea el Dictamen WP29 2/2017 sobre el procesamiento de datos en el trabajo para obtener más información sobre el procesamiento de datos personales en un contexto laboral.

Nuevamente, el RGPD del Reino Unido no contiene una definición de procesamiento a gran escala, pero para decidir si el procesamiento es a gran escala, debe considerar:

Ejemplos de procesamiento a gran escala incluyen:

Los profesionales individuales que procesan datos de pacientes o clientes no están procesando a gran escala.

Enlace externo

Otras lecturas– Consejo Europeo de Protección de Datos

El WP29 elaboró ​​directrices sobre las evaluaciones de impacto de la protección de datos, que han sido aprobadas por el EDPB.

Lea también las Directrices del WP29 sobre los delegados de protección de datos ('DPO') (WP243)

Es posible que no tenga que llevar a cabo una DPIA si:

Enlace externo

Otras lecturas– Consejo Europeo de Protección de Datos

El WP29 elaboró ​​directrices sobre las evaluaciones de impacto de la protección de datos, que han sido aprobadas por el EDPB.