Uno de los nuevos elementos que incluye el GDPR son las evaluaciones de impacto (PIAs). Si bien es cierto que el GDPR las define en su artículo 35, los criterios que utiliza para establecer cuándo son aplicables, así como para luego realizar las mencionadas evaluaciones, contienen ciertos términos que pueden llegar a ser ambiguos o, cuanto menos, interpretables. A continuación, en base a varios informes de distintas Autoridades de Control europeas, intentaré aclarar algunos de los conceptos más relevantes en relación con la figura de los PIAs.
¿Qué significa “alto riesgo”?
El GDPR menciona el riesgo en varias ocasiones pero no define “riesgo” o “alto riesgo”. En el contexto de los PIAs se habla de riesgo en relación con los derechos y libertades de las personas. Esto puede incluir derechos y libertades distintos de la protección de datos. En este contexto, el riesgo se refiere a la posibilidad de que se produzca un daño físico, material o moral importante para las personas.
Las amenazas, en cambio, son diferentes a los riesgos. Por ejemplo, una amenaza de pérdida de datos tendrá un riesgo real que variará según las circunstancias, la naturaleza y el alcance del tratamiento. Una amenaza es una declaración relativa a la posibilidad de daño o perjuicio. Un riesgo cuantifica esa amenaza en términos de su probabilidad e impacto.
Teniendo en cuenta la probabilidad y la gravedad del daño potencial que pueda sufrir una persona como consecuencia de algún tipo de amenaza, el “alto riesgo” incluye el riesgo que puede conducir a un resultado más grave o perjudicial para una persona que un resultado en otras circunstancias.
¿Qué factores pueden llevar al procesamiento de “alto riesgo”? Sin ser una lista cerrada, estos pueden ser algunos ejemplos:
- Usos de nuevas tecnologías.
- Tratamiento de datos a gran escala.
- Evaluar y /o predecir los comportamientos de los individuos, incluyendo ubicación, intereses o preferencias.
- El seguimiento, la observación o el control sistemáticos de las personas, incluidos los que tengan lugar en un espacio público o en los que la persona no tenga conocimiento del tratamiento o de la identidad del responsable del tratamiento.
- Tratamiento de datos especialmente protegidos.
- Tratamiento de conjuntos de datos combinados que van más allá de las expectativas de un individuo, como cuando se combinan datos de dos o más fuentes en las que el tratamiento se lleva a cabo para fines diferentes.
- Tratamiento de datos personales relativos a personas vulnerables. Entre ellos se incluyen por ejemplo los menores de edad o las personas incapacitadas.
- Toma de decisiones automatizada con efectos jurídicos o significativos.
¿Qué significa “afectar significativamente”?
El GDPR no define el término “efecto significativo”, sino que se utiliza junto con el término “efecto legal”. Ambos son resultados que tienen un efecto perjudicial o discriminatorio sobre un individuo o que causan un cambio en el comportamiento, la toma de decisiones, las circunstancias o la capacidad de hacer uso de sus derechos. La importancia del tratamiento está estrechamente relacionada con la vulnerabilidad del interesado afectado.
Algunos ejemplos podrían ser:
- Pérdida del derecho a una prestación social particular conferida por ley.
- Denegar la entrada en la frontera.
- Estar sometido a medidas de seguridad o vigilancia reforzadas.
- Denegar el empleo o el acceso a bienes o servicios (por ejemplo, seguros, crédito, vivienda).
- Impedir el ejercicio de los derechos derivados de un contrato.
- Daños relativos a la salud o el bienestar de las personas.
¿Qué significa “nueva tecnología”?
El término “Nuevas Tecnologías” no está definido en el GDPR, pero incluye:
- La primera vez o el uso novedoso por parte de una organización de una tecnología avanzada, automatizada o innovadora. Por ejemplo, el uso por primera vez de tecnologías de inteligencia artificial.
- Utilización de tecnología nueva, inmadura o no probada.
- Uso de tecnología alternativa o de creación propia, por ejemplo, un método de encriptación personalizado conocido solamente por el responsable de los datos.
- Tratamientos realizados con técnicas novedosas o inesperadas que pueden implicar riesgos desconocidos.
¿Qué significa “a gran escala”?
El GDPR no define el término gran escala, pero incluye:
- Larga duración o permanencia de la actividad de tratamiento de datos.
- Número o proporción de interesados.
- Volumen de datos y/o tipo de de datos que se están tratando.
- Alcance geográfico de la actividad en cuestión.
Ejemplos de tratamiento a gran escala incluyen:
- Un hospital que trate los datos del paciente.
- Seguimiento de las personas que utilizan el sistema de transporte público de la ciudad.
- Una compañía de seguros o un banco.
¿Qué significa tratamiento “regular”?
El GDPR no define este término, pero incluye:
- En curso o que se producen a intervalos determinados durante un período determinado.
- Recurrentes o repetidos en horas fijas.
- Constantemente en curso.
- Que ocurren periódicamente durante un período de tiempo prolongado.
¿Qué significa tratamiento “sistemático o extensivo”?
El GDPR no define los términos tratamientos “sistemático o extensivo “, sino que se refiere a ellos como los:
- Pre-organizados, organizados o metódicos.
- Que se llevan a cabo como parte de un plan general para la obtención de datos.
- Realizados en el marco de una estrategia.
- “Extenso” implica que el tratamiento abarca una amplia gama de datos o de interesados.