¿Qué es una evaluación de impacto en la protección de datos personales?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar

• Tratamientos a gran escala de datos sensibles

• Observación sistemática a gran escala de una zona de acceso público

Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta (según el Grupo del Artículo 29, en su designación de Delegados de Protección de Datos):

• El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población

• El volumen de datos y la variedad de datos tratados

• La duración o permanencia de la actividad de tratamiento

• La extensión geográfica de la actividad de tratamiento