La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD) es una herramienta que permite evaluar anticipadamente cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
La EIPD o Evaluación de Impacto es una herramienta “preventiva” para evaluar los riesgos “antes” de realizar un nuevo tratamiento en el que sea probable que exista un alto riesgo para los derechos y libertades de los interesados.
Tal y como indica en la “Guía práctica para las EIPD” que ha publicado la AEPD, “ el mandato del Reglamento no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que comienze a ser de aplicación” (es decir, que sobre tratamientos que ya existen, NO hay que realizar un análisis EIPD). Sin embargo sí se debe realizar el Análisis de Riesgos.
- En el RGPD indica que la EIPD se requerirá en estos casos:
- Elaboración de perfiles automatizada.
- Tratamiento a GRAN ESCALA de categorías especiales de datos o condenas e infracciones penales.
- Observación a GRAN ESCALA de una zona de acceso público (Videovigilancia masiva).
- La autoridad de control debe publicar una lista de tratamientos adicionales que requerirá de EIPD. Actualmente, la AEPD no ha publicado aún la mencionada lista.
Conclusión: en términos generales, la EIPD no suele ser necesaria , pues los tratamientos que realizan las entidades son los que ya se realizaban con anterioridad, el análisis EIPD es para nuevos tratamientos que se efectuen, y en las condiciones indicadas anteriormente.
