La AEPD ha publicado una guía para ayudar a las Administraciones Publicas a realizar evaluaciones de impacto desde el diseño en las iniciativas legislativas

La guía está dirigida a los organismos de las Administraciones Públicas (AAPP) y sus Delegados de Protección de Datos (DPD) que desarrollen o colaboren con la elaboración de proyectos normativos que impliquen tratamientos de datos personales a los que sea de aplicación el RGPD.

Estas orientaciones tienen pretenden servir de guía para la realización de una evaluación de impacto para la protección de datos (EIPD) en el contexto de la elaboración de la Memoria de Análisis de Impacto Normativo (MAIN). De esta manera, insta a evaluar el impacto que las propuestas normativas tienen sobre los derechos y libertades fundamentales de las personas tomadas individualmente y como sociedad.

Como requisitos previos a la realización de la EIPD, la AEPD establece la necesidad de:

• (i) determinar la existencia de un tratamiento de datos personales, teniendo en cuenta las definiciones de dato personal y de tratamiento de datos conforme al RGPD y a la LOPDGDD.
• (ii) determinar cuándo realizar una EIPD, esto es, cuando la medida legislativa propuesta implique una limitación a los derechos de los interesados, independientemente de que dicha limitación pueda estar justificada.
• (iii) determinar el rango adecuado de la norma que para que el tratamiento de datos personales pueda estar legitimado en una obligación legal, en el interés público o en el ejercicio de poderes públicos. Para ello, tiene que emanar de una competencia atribuida por una norma de Derecho de la Unión Europea o una norma con rango de ley.
• (iv) determinar la calidad de la norma desde la perspectiva de la protección de datos. Si la norma no tiene la calidad necesaria desde el punto de vista de protección de datos, antes de iniciar el proceso de EIPD será necesario revisar su redacción y adecuarla.

Para que una norma cumpla con este requisito debe tener claramente definidas: la finalidad del tratamiento, la base de legitimación, la implementación del tratamiento (operaciones, procedimientos, tecnologías empleadas, la existencia de decisiones automatizadas, etc.), el ámbito y extensión del tratamiento, la definición clara de responsables y encargados,  las entidades que acceden y a las que se pueden comunicar los datos personales, la justificación de la solución adoptada para el acceso, las medidas para garantizar un tratamiento lícito y equitativo.

La AEPD, continúa el análisis  explicando cómo, para realizar una Evaluación de impacto para la protección de datos, se exige una valoración de los hechos objetivos. Para ello, es necesario:

• (i) evaluar las limitaciones y riesgos para los derechos y libertades tanto de los individuos como para la propia sociedad o par aun grupo representativo de ella, para lo que se deberá tener en cuenta la posibilidad de que existan brechas de datos personales.
• (ii)respetar la esencia del derecho.
• (iii) evaluar la finalidad/es del tratamiento de datos (los fines deben ser especifico, medibles, alcanzables, realistas y delimitados en el tiempo).
• (iv) evaluar la idoneidad y necesidad.
• (v) evaluar la proporcionalidad.
• (vi) considerar qué salvaguardas acompañan a la medida para reducir los riesgos para los derechos fundamentales.

Por último, la Autoridad de Control española explica que la EIPD debe tener una calidad aceptable. Esto significa, entre otros puntos ya mencionados, que ésta debe ser realizada desde el diseño e incorporarse a la Memoria de Análisis del Impacto Normativo así como, basando las respuestas que se hacen a lo largo de la guía en las pruebas adecuada, registrando y almacenando la documentación relevante.

María José Antolín Martín 

Consultor de Helas Consultores