{"id":2171,"date":"2016-04-27T08:15:00","date_gmt":"2016-04-27T07:15:00","guid":{"rendered":"http:\/\/blogs.lavozdegalicia.es\/victorsalgado\/?p=2171"},"modified":"2016-04-26T20:36:51","modified_gmt":"2016-04-26T19:36:51","slug":"la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue","status":"publish","type":"post","link":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/2016\/04\/27\/la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue\/","title":{"rendered":"La nueva Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos (Reglamento UE)"},"content":{"rendered":"<p>Ya est\u00e1. Ya lo tenemos aqu\u00ed. Tras cuatro a\u00f1os de tramitaci\u00f3n, el nuevo Reglamento General de la Protecci\u00f3n de Datos de la Uni\u00f3n Europea <a href=\"http:\/\/www.europarl.europa.eu\/news\/es\/news-room\/20160407IPR21776\/Reforma-de-la-protecci%C3%B3n-de-datos-%E2%80%93-Nuevas-reglas-adaptadas-a-la-era-digital\" target=\"_blank\">ha sido finalmente aprobado por el pleno del Parlamento Europeo el pasado 14 de abril de 2016<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-2176\" src=\"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/files\/2016\/04\/Lupa.na_.encyklopedii.jpg\" alt=\"Lupa.na.encyklopedii\" width=\"600\" height=\"327\" srcset=\"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/files\/2016\/04\/Lupa.na_.encyklopedii.jpg 600w, https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/files\/2016\/04\/Lupa.na_.encyklopedii-300x164.jpg 300w\" sizes=\"auto, (max-width: 600px) 100vw, 600px\" \/><\/p>\n<p>Esta norma, que ser\u00e1 de aplicaci\u00f3n directa en todos los pa\u00edses de la UE sin necesidad de transposici\u00f3n legal interna, trae muchas novedades que tendremos la oportunidad de analizar hasta su plena entrada en aplicaci\u00f3n all\u00e1 por 2018.<\/p>\n<p>Una de las que m\u00e1s me ha llamado la atenci\u00f3n es, sin duda, la nueva obligaci\u00f3n de llevar a cabo una \u201cEvaluaci\u00f3n de Impacto relativa a la protecci\u00f3n de datos\u201d contemplada en el <a href=\"http:\/\/data.consilium.europa.eu\/doc\/document\/ST-5419-2016-INIT\/es\/pdf\" target=\"_blank\">art\u00edculo 35 del nuevo texto jur\u00eddico<\/a>.<\/p>\n<p><strong>\u00bfQu\u00e9 significa esta obligaci\u00f3n?<\/strong><\/p>\n<p>Obviamente, recuerda bastante a la famosa \u201c<a href=\"http:\/\/www.magrama.gob.es\/es\/calidad-y-evaluacion-ambiental\/temas\/evaluacion-ambiental\/legislacion\/\" target=\"_blank\">Evaluaci\u00f3n de Impacto Ambiental<\/a>\u201d preceptiva en todo proyecto que pueda afectar el entorno medioambiental y no anda muy lejos, como veremos.<\/p>\n<p>La Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos se exigir\u00e1 siempre que un tratamiento concreto pueda entra\u00f1ar un \u201calto riesgo para los derechos y libertades de las personas f\u00edsicas\u201d. Como veis, un concepto muy ambiguo pero su definici\u00f3n tendr\u00e1 una gran importancia en la pr\u00e1ctica, pues obligar\u00e1 al responsable a realizar un detallado estudio previo, que no ser\u00e1 sencillo.<\/p>\n<p>Afortunadamente, el Reglamento nos da \u201cpistas\u201d sobre en qu\u00e9 casos concretos ser\u00e1 exigible. De modo resumido, ser\u00edan \u00e9stos:<\/p>\n<ul>\n<li>Tratamientos que impliquen una \u201cevaluaci\u00f3n sistem\u00e1tica y exhaustiva de aspectos personales\u201d, con base tecnol\u00f3gica, como la elaboraci\u00f3n de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jur\u00eddicos para los interesados;<\/li>\n<\/ul>\n<ul>\n<li>Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideolog\u00eda o creencias, los datos gen\u00e9ticos, datos biom\u00e9tricos identificativos, datos de salud, vida u orientaci\u00f3n sexual y condenas e infracciones penales y<\/li>\n<\/ul>\n<ul>\n<li>La observaci\u00f3n sistem\u00e1tica a gran escala de una zona de acceso p\u00fablico.<\/li>\n<\/ul>\n<p>Estos casos deber\u00e1n ser concretados y publicados en una lista por parte de la autoridad de control, en nuestro pa\u00eds, la Agencia de Protecci\u00f3n de Datos, la cual podr\u00e1 tambi\u00e9n publicar la lista de los tipos de tratamiento que no requerir\u00e1n dichas evaluaciones de impacto previas, de modo coherente con el resto de autoridades de la Uni\u00f3n Europea.<\/p>\n<p>&nbsp;<\/p>\n<p><strong>Y, \u00bfc\u00f3mo se realiza la Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos?<\/strong><\/p>\n<p>Para la elaboraci\u00f3n de este estudio, el responsable del tratamiento deber\u00e1 recabar el asesoramiento del llamado \u201cdelegado de protecci\u00f3n de datos\u201d o DPO, otra importante novedad del Reglamento, cuya contrataci\u00f3n se exige para determinados tipos de entidades y situaciones.<\/p>\n<p>En cualquier caso, el contenido m\u00ednimo de la Evaluaci\u00f3n de Impacto deber\u00e1 ser:<\/p>\n<ul>\n<li>La descripci\u00f3n detallada de lo siguiente:\n<ol>\n<li>las operaciones de datos previstas,<\/li>\n<li>las distintas finalidades del tratamiento y<\/li>\n<li>En su caso, del inter\u00e9s leg\u00edtimo perseguido por el responsable;<\/li>\n<\/ol>\n<\/li>\n<li>Un an\u00e1lisis de la necesidad y la proporcionalidad de las antedichas operaciones de tratamiento en relaci\u00f3n a su finalidad;<\/li>\n<\/ul>\n<ul>\n<li>La necesaria evaluaci\u00f3n de los riesgos para los derechos y libertades de los interesados anteriormente mencionados, y<\/li>\n<li>Las medidas previstas para afrontar dichos riesgos, incluidas garant\u00edas, medidas de seguridad y mecanismos que garanticen la protecci\u00f3n de los datos y demuestren el cumplimiento del Reglamento.<\/li>\n<\/ul>\n<p>Otros contenidos adicionales, en su caso, ser\u00edan:<\/p>\n<ul>\n<li>Referencia a posibles C\u00f3digos de Conducta aplicables (una herramienta muy \u00fatil para la autorregulaci\u00f3n de sectores de actividad concretos).<\/li>\n<li>Recabo de la opini\u00f3n de los interesados o de sus representantes, sin perjuicio de la protecci\u00f3n de intereses p\u00fablicos o comerciales o la seguridad del tratamiento.<\/li>\n<\/ul>\n<p>Finalmente, el Reglamento dispensa de realizar dicha Evaluaci\u00f3n de Impacto si se trata de tratamientos que dimanen de una obligaci\u00f3n legal y para los cuales se haya realizado ya una Evaluaci\u00f3n de Impacto General con la adopci\u00f3n de su base jur\u00eddica.<\/p>\n<p>Eso s\u00ed, si ya se ha realizado una Evaluaci\u00f3n de Impacto de Protecci\u00f3n de Datos y al menos cuando haya un cambio de riesgo posterior, el responsable deber\u00e1 volver a revisarla y comprobar su conformidad con las nuevas circunstancias.<\/p>\n<p>Seg\u00fan el resultado de la Evaluaci\u00f3n, el responsable deber\u00e1 actuar o no y, en su caso, incluso realizar una consulta previa ante la autoridad de control (nuestra Agencia Espa\u00f1ola de Protecci\u00f3n de Datos) cuando se detecte un alto riesgo para los derechos de los afectados.<\/p>\n<p>Sin duda, traer\u00e1 cola.<\/p>\n<p>&nbsp;<\/p>\n<p>Publicado originalmente en: <a href=\"http:\/\/pintos-salgado.com\/2016\/04\/27\/la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue\/\" target=\"_blank\">http:\/\/pintos-salgado.com\/2016\/04\/27\/la-nueva-evaluacion-de-impacto-de-proteccion-de-datos-reglamento-ue\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El nuevo Reglamento General de Protecci\u00f3n de Datos UE obliga a realizar una Evaluaci\u00f3n de Impacto para tratamientos sensibles y de alto riesgo \u00bfQu\u00e9 significa?<\/p>\n","protected":false},"author":180,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[7122],"tags":[7128,7197,8264,7022,247878,247888],"class_list":["post-2171","post","type-post","status-publish","format-standard","hentry","category-proteccion-de-datos","tag-aepd","tag-datos-personales","tag-lopd","tag-privacidad","tag-proteccion-de-datos","tag-rgpd"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/posts\/2171","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/users\/180"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/comments?post=2171"}],"version-history":[{"count":8,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/posts\/2171\/revisions"}],"predecessor-version":[{"id":2180,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/posts\/2171\/revisions\/2180"}],"wp:attachment":[{"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/media?parent=2171"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/categories?post=2171"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.lavozdegalicia.es\/victorsalgado\/wp-json\/wp\/v2\/tags?post=2171"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}