(+34) 954 29 30 31

¿Están los organismos públicos exceptuados de realizar EIPD?

El RGPD prevé que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (en adelante, EIPD).

Así, en muchas ocasiones a los responsables del tratamiento se les plantea la duda sobre si deben hacer o no una EIPD respecto de un tipo de tratamiento.

Para ayudar a los responsables el RGPD prevé que las autoridades de control establezcan y publiquen una lista de los tipos de operaciones de tratamiento que requieren una EIPD y otra de los tipos de tratamiento que no lo requieren.

Siguiendo este precepto la Agencia Española de Protección de Datos ha publicado estas listas, y en la relativa a los tipos de operaciones que no requieren de una EIPD se encuentra la siguiente: “Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa”.

¿Significa esto que no hay que hacer una evaluación de impacto cuando la base legitimadora sea una obligación legal, interés público o el ejercicio de poderes públicos, salvo que lo indique el texto legal de donde emane esa base legitimadora? Si así fuera los Organismos públicos estarían exceptuados de realizar EIPD, ya que la mayoría de sus tratamientos tienen estas bases legitimadoras.

La respuesta es no, pese a que a muchos les gustaría que fuera que sí. Hay un detalle muy importante a tener en cuenta que se indica al final de la excepción: “y siempre y cuando ya se haya realizado una EIPD completa”.

Por tanto, no nos basta que el tipo de tratamiento tenga como base legitimadora una obligación legal, el interés público o el ejercicio de poderes públicos, y que el mandato legal del que surge esa base legitimadora no especifique nada sobre que debe realizarse una EIPD, que será lo habitual, sino que además de darse estas circunstancias debe de darse la condición de que ya se haya realizado una EIPD completa.

Y nos planteamos ahora, ¿qué es una EIPD completa?, ¿quién debe realizarla?

Para encontrar respuestas a estas preguntas acudimos a las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, del Grupo «Protección de Datos» del artículo 29, que fue revisada por última vez el 4 de octubre de 2017.

En este documento el Grupo del art. 29 expone que considera que no se requiere una EIPD cuando una operación de tratamiento, de conformidad con el artículo 6, apartado 1, letra c) o e) (es decir, tratamientos que tienen como base legitimadora ser necesarios para el cumplimiento de una obligación legal, el cumplimiento de una misión realizada en interés público o el ejercicio de poderes públicos conferidos al responsable), tenga una base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro, cuando tal Derecho regule la operación específica de tratamiento y cuando ya se haya realizado una EIPD en el contexto de la adopción de dicha base jurídica (artículo 35, apartado 10), excepto si un Estado miembro considera necesario proceder a dicha evaluación previa a las actividades de tratamiento.

Así, la respuesta la teníamos en el apartado 10 del artículo 35 del RGPD, que nos dice que en los casos ya señalados no será necesario una EIPD si ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica.

Es decir, se entiende que ya se haya realizado una EIPD completa cuando esta EIPD se lleve a cabo en la fase de elaboración de la legislación que prevé una base jurídica para un tratamiento.

No obstante, es más que probable que esta EIPD no se haga, o que no hubiera suficiente información técnica disponible en el momento de la adopción de la legislación, lo que impediría la aplicación de esta excepción.

Pedro López de Lemus Rodríguez

Sin comentarios

Lo sentimos, no se permiten comentarios en este momento