Trabajando con risk4all (I)- Cuándo debe hacerse una evaluación de impacto para la privacidad PIA
El artículo 35 del GDPR establece una lista de situaciones en las que sería necesario hacer una evaluación de impacto para la privacidad (PIA por sus siglas en inglés).
A priori, podría parecer una cuestión sencilla de aplicar, pero no lo es tanto por varios motivos:
- Por un lado, el propio listado del GDPR abusa de conceptos ambiguos e imprecisos (alto riesgo, gran escala, nuevas tecnologías, etc.). Estos conceptos están abiertos a la interpretación de cada persona, lo cual puede provocar discrepancias, incluso entre autoridades de protección de datos.
- Por otro lado, el GDPR requiere a las autoridades nacionales para que publiquen sus propias listas de casos que necesitan PIA y habilita la publicación de listas de casos donde no sería necesario. Por ejemplo, estos son los listados de España y Portugal
- Además, en España, el artículo 28 de la LOPDGDD recoge otro listado de casos que podrían necesitar PIA.
Es decir, en España convivimos con 3 listados similares pero diferentes que, además, no siempre son coherentes entre sí, lo cual dificulta en gran medida determinar si procede o no hacer un PIA. Por ejemplo, el art. 35.3.b) del GDPR requiere realizar un PIA cuando se lleve a cabo un tratamiento de datos biométricos a gran escala; sin embargo, para el art. 28.2.c) de la LOPDGDD, bastaría con que el tratamiento de los datos biométricos no fuese incidental o accesorio (algo que ya fue rechazado por el Comité Europeo de Protección de Datos (EDPB) cuando recibió la lista de la AEPD, pero que sigue en el texto vigente de la LOPD de 2018).
Para solucionar este problema, en risk4all hemos valorado cada lista por separado, de forma que, dependiendo de la información recogida en el Registro de Actividades de Tratamiento (RAT) y del país donde se encuentra el responsable o encargado del tratamiento, la herramienta ofrece automáticamente una recomendación sobre la necesidad de realizar un PIA y la justifica con la referencia exacta al listado correspondiente.
Además, esta mecánica permite ir añadiendo los listados correspondientes para cada país o, incluso, que una organización definiese sus propias casuísticas adicionales.
Sin duda, es una gran ayuda para sistematizar esta valoración, sin importar la cantidad de listas que deba compatibilizar una entidad o los países donde tenga presencia un grupo empresarial.
risk4all