La Evaluación de impacto en la protección de datos (EIPD), tal y como lo define la AEPD, es una herramienta que con carácter preventivo debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de los interesados.
Es un análisis de los posibles riesgos que el tratamiento de datos pueda ocasionar y la adopción de las medidas idóneas para eliminarlos o reducirlos.
Se encuentra regulado en el artículo 35 del RGPD, según el cual la EIPD debe incluir al menos los siguientes extremos:
Asimismo, conforme a la disposición adicional décimo séptima de la LOPDGDD, también se deberá llevar a cabo una EIPD cuando se trate de un tratamiento de datos relativos a la salud, haciendo expresa mención a los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.
La AEPD, en su "Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD", ha establecido los pasos o etapas que debe seguir una EIPD, los cuales son:
Describir el ciclo de vida de los datos: De manera detallada identificar los datos tratados, los intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en el tratamiento de los datos.
Analizar la necesidad y proporcionalidad del tratamiento: Análisis de la base de legitimación, la finalidad, necesidad y proporcionalidad del tratamiento que se va a llevar a cabo.
Identificar amenazas y riesgos: Aquellos a los que están expuesto los datos en el tratamiento de los mismos.
Evaluar los riesgos: En relación a la probabilidad y el impacto para el supuesto de que las amenazas se materialicen.
Tratar los riesgos: Respuesta ante los riesgos identificados con el objetivo de minimizarla probabilidad y el daño que las amenazas pudieran ocasionar, reduciéndolo hasta un nivel aceptable que permita garantizar los derechos y libertades de las personas físicas.
Plan de acción y conclusiones: Realizar un informe de conclusiones de la EIPD donde se refleje el resultado de la evaluación, el plan de acción que incluya las medidas de control a implantar y, si procede, el resultado de una consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD (en caso de alto riesgo).
Por último, ¿quién debe hacerla y quién debe participar?
El apartado 2 del artículo 35 expone que le corresponde al responsable del tratamiento la obligación de realizar la EIPD, estableciendo que el Delegado de Protección de Datos le proporcionará asesoramiento necesario para el adecuado desarrollo de la evaluación. Debemos recordar que el DPD no es una figura obligatoria en todas las entidades, por lo que desde un punto de vista práctico pocas veces se verá dicho asesoramiento.