¿Qué es una evaluación de impacto en protección de datos?

La EIPD es una herramienta consistente en la realización de un análisis de los potenciales riesgos a los que están expuestos los datos personales recabados y tratados en una determinada organización en base a los tratamientos a los que se someten.

En dicho análisis se llevará a cabo una cuantificación del nivel del riesgo que puede afectar a los datos y se indicarán una serie de medidas a implantar con la finalidad de minimizarlos.

¿Dónde se regula?

La Evaluación de Impacto relativa a la Protección de Datos (EIPD) aparece regulada en el artículo 35 RGPD.

¿Cuándo se debe hacer una EIPD?

Si bien no siempre es obligatorio realizar una EIPD, será recomendable siempre que se lleve a cabo un tratamiento de datos personales a fin de que la organización sea consciente de los riesgos a los que se enfrenta y de las medidas que debe implementar.

En todo caso, será obligatorio hacer una EIPD en los supuestos en los que el tratamiento pueda entrañar un riesgo alto para los derechos y libertades de los interesados. Estos son:

Tratamiento de forma sistemática o masiva de datos especialmente protegidos.
Utilización de Big Data para el tratamiento de los datos.
Tratamiento de datos de menores de edad de forma significativa.
Elaboración de perfiles.
Cruce de datos personales de los interesados con los datos recogidos en otras fuentes.
Situaciones en las que los datos recogidos se vayan a tratar con una finalidad mucho más intrusiva que la finalidad para la que se recogieron.
Cesión de datos a terceros.
Transferencias internacionales de datos a países fuera del Espacio Económico Europeo.
Utilización de los datos personales para fines estadísticos, históricos o de investigación científica sin disociar o anonimizar.
Otros riesgos específicos que puedan comprometer la confidencialidad, la integridad o la disponibilidad de los datos personales.