La Agencia Española de Protección de Datos publica la lista de tratamientos de los que es probable que entrañe un alto riesgo y precise una Evaluación de Impacto relativa a la Protección de Datos

Written on 29 May 2019

En conformidad con lo que se dispone en el artículo 35.4 del RGPD, las autoridades nacionales deberán establecer y publicar una lista de los tipos de operaciones de tratamiento que precisen una evaluación de impacto relativa a la protección de datos. La AEPD ha publicado la lista pertinente, la cual puede que haya tenido en cuenta las recomendaciones que se establecen en el preceptivo Dictamen 6/2019 del Comité Europeo de Protección de Datos según el artículo 64.1.a) del RGPD.

El Reglamento General de Protección de Datos (RGPD, de ahora en adelante) introdujo el concepto de evaluación de impacto relativa a la protección de datos en su artículo 35, en el que se establece que una evaluación de impacto relativa a la protección de datos (EIPD o comúnmente llamada DPIA por sus siglas en inglés) será necesaria cuando un tipo de tratamiento sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas. El concepto de las DPIA se desarrolla en más profundidad en las Directrices sobre la evaluación de impacto relativa a la protección de datos (DPIA) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 (Directrices WP248) del Grupo de Trabajo del Artículo 29 (actualmente el Comité Europeo de Protección de Datos - CEPD), ya que el RGPD no define el concepto como tal. En pocas palabras, un DPIA es un proceso utilizado para reforzar y demostrar el cumplimiento.

Si se concluye que un tratamiento de datos es probable que entrañe un alto riesgo, llevar a cabo un DPIA puede resultar necesario para garantizar los derechos y libertades de las personas físicas. Pero el hecho de implementar esta medida en los procesos internos de las empresas también puede resultar interesante para los propios responsables del tratamiento, ya que así se fomenta la concienciación de grandes organizaciones sobre la importancia que conlleva la protección de datos. En este sentido, si un responsable evalúa adecuadamente –entre otros aspectos- si la recogida de determinados datos es realmente necesaria para la finalidad que se persigue, el responsable se ajustaría al nuevo principio de responsabilidad proactiva o minimización de los datos que rige el RGPD.

Con el fin de determinar cuándo es necesario realizar un DPIA, el artículo 35.4 del RGPD establece una obligación para las autoridades nacionales de control de establecer y publicar una lista de los tipos de operaciones de tratamiento que requieran un DPIA. Así mismo, las listas que se vayan a publicar deberán respetar las Directrices WP248 que se mencionan anteriormente sobre los DPIA, ya que las mismas pretenden fomentar el desarrollo de una lista común en la UE de operaciones de tratamiento que precisen un DPIA.

En este sentido, las autoridades de control deberán remitir un borrador al CEPD para que esta institución pueda verificar que la lista no contraviene lo establecido en el RGPD. El CEPD deberá emitir entonces un dictamen –de conformidad con el artículo 64.1.a) del RGPD–, de modo que se garantice una aplicación coherente del RGPD por todo el Espacio Económico Europeo. A diferencia de las Directrices WP248 que pretenden el desarrollo de una lista común para toda la UE a estos efectos, los dictámenes a los que nos referimos que debe emitir el CEPD sirven para prevenir que se publiquen listas incoherentes que puedan menoscabar la protección uniforme de los interesados. Para cumplir con los trámites establecidos, la AEPD comunicó su borrador al CEPD, quien emitió posteriormente el Dictamen 6/2019.

El Dictamen 6/2019 sobre el borrador de la lista de la autoridad de control competente en España en cuanto a las operaciones de tratamiento que requieren una EIPD concluyó que dicha lista implicaría una aplicación incoherente de los presupuestos que hacen necesario un DPIA. En concreto, el Comité recomienda a la AEPD que añada explícitamente los tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física en concurrencia con otro de los criterios de esta lista. De la misma manera, el Comité también recomienda a la autoridad española de control que añada explícitamente a la lista los tratamientos que impliquen el uso de datos genéticos en concurrencia con otro de los criterios de esta lista.

A pesar de que el artículo 9.1 del RGPD establece que los datos biométricos y genéticos son categorías especiales de datos, destaca el hecho de que la AEPD no haya determinado que los tratamientos que impliquen el uso de estos datos pueda hacer necesario un DPIA. Que el primer borrador de la lista elaborada por parte de la AEPD no haya establecido que el tratamiento de datos genéticos y biométricos precisa llevar a cabo un DPIA puede resultar sorprendente si se tiene en cuenta la protección que se le da al tratamiento de estas categorías especiales de datos en virtud de la redacción actual de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPD). Es importante destacar que la LOPD no ha aprovechado la oportunidad que ofrece el RGPD para dotar de una mayor protección a este tipo de tratamientos en lo relativo a requisitos adicionales (a parte del consentimiento del interesado) para tratar categorías especiales de datos. Sin embargo, la LOPD sí exige requisitos adicionales para el tratamiento de otras categorías especiales de datos, como aquellos que tengan la finalidad de identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. La protección adicional que se otorga a los interesados al hacer necesario llevar a cabo un DPIA cuando se pretende el tratamiento de datos genéticos o biométricos para identificar de manera única a una persona parece cuanto menos recomendable, y así fue interpretado por el CEPD en su Dictamen 6/2019.

En cualquier caso, es importante destacar que la AEPD publicó un documento no vinculante en el que se aclara que el tratamiento de datos biométricos como la huella dactilar o el reconocimiento facial se pueden considerar como medidas de control lícitas en el ámbito laboral que prevalecen sobre los derechos de los trabajadores.

Así, se ha publicado recientemente la lista definitiva de la AEPD modificando la lista que originalmente comunicó al CEPD para cumplir con las recomendaciones del Dictamen 6/2019. La lista de tratamientos de datos que precisan un DPIA que ha emitido la autoridad de control española se encuentra actualmente disponible en la página web de la Agencia. La misma contiene un total de once tipos de tratamientos de datos que puede ser posible que requieran un DPIA, en base a los criterios que se establecen en el artículo 35.3 del RGPD y las Directrices que se mencionan. Es interesante apreciar que para que el responsable del tratamiento pueda discernir si está realizando tratamientos de categorías de datos que puedan precisar un DPIA previo, se deberá realizar un análisis parecido al que se realiza en un DPIA para así poder determinar la necesidad de llevar a cabo un DPIA a todos los efectos. Un ejemplo de lo anterior sería el tratamiento de datos personales que requieren el uso de "nuevas tecnologías" o el tratamiento de datos sobre individuos especialmente protegidos o de exclusión social.

La AEPD establece así mismo que será necesario realizar un DPIA en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista que se establece, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren DPIA a la que se refiere en artículo 35.5 del RGPD. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar un DPIA. En este sentido, resulta interesante apuntar que la AEPD adopta el mismo enfoque en cuanto a requerir dos o más criterios cumulativos de la lista, que parece imitar el enfoque establecido por el Grupo de Trabajo del Artículo 29 en sus Directrices WP248 en cuanto al conjunto de aspectos que deberían ser tenidos en cuenta por las autoridades nacionales en el momento de redactar la lista exigida por el artículo 35(4) del RGPD. Por ello, se puede concluir que se estaría dejando a los responsables del tratamiento la decisión sobre si realizar un DPIA cuando solo uno de los criterios de la lista resulta aplicable al tratamiento de datos que se pretende realizar.

En conclusión, se ha publicado la lista definitiva de tratamientos que pueden precisar un DPIA según la AEPD. Se puede apreciar que la Agencia ha seguido las recomendaciones del Comité Europeo y ha modificado la lista que tramitó originalmente y así garantiza una aplicación coherente de los presupuestos que hacen necesario un DPIA. Si bien no debemos olvidar el carácter no exhaustivo de la lista, la misma contribuye a generar seguridad jurídica en cuanto a los supuestos en los que un tratamiento de datos es posible que entrañe un alto riesgo y haga necesario realizar un DPIA.