GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

RGPD - EVALUACIONES

Diferentes tipos de evaluaciones

Hay varios tipos diferentes de evaluaciones que las empresas pueden necesitar hacer antes de procesar datos personales de acuerdo con el RGPD. Por ejemplo, evaluaciones de impacto o evaluaciones de intereses legítimos. 

Evaluaciones de impacto previas a la tramitación

Si cualquier tratamiento de datos personales puede dar lugar a riesgos elevados para los derechos y libertades de los interesados, la empresa llevará a cabo una evaluación de impacto antes de que tenga lugar el tratamiento.

Así se establece en el artículo 35 del RGPD. Si la empresa no lleva a cabo una evaluación de impacto cuando es necesario, puede tener consecuencias, en el peor de los casos una multa. 

What breaches of the GDPR can lead to an administrative fine?

Finalidad de una evaluación de impacto

El propósito de llevar a cabo una evaluación de impacto es investigar si el tratamiento está permitido en virtud del RGPD y cómo la empresa debe prevenir los riesgos que el tratamiento plantea a los interesados. 

¿Qué debe incluirse en una evaluación de impacto?

Descripción

Contendrá una descripción sistemática del tratamiento de los datos personales. Lo mismo se aplica a la finalidad del tratamiento.

Proporción

La empresa evaluará si el tratamiento de datos personales es proporcionado a la finalidad del tratamiento.

Riesgos para los interesados

Los riesgos que el tratamiento puede suponer para los derechos y libertades de los interesados.

Medidas para minimizar los riesgos

Las medidas que la empresa tiene previsto tomar para minimizar los riesgos.

Si la empresa tiene un delegado de protección de datos

Algunas empresas deben designar a un delegado de protección de datos. Las empresas que tengan un delegado de protección de datos siempre consultarán al delegado de protección de datos cuando lleven a cabo una evaluación de impacto. 

Ejemplos de diferentes tipos de evaluaciones de impacto que las empresas pueden tener que llevar a cabo

Evaluación de riesgos antes de nuevos tratamientos de datos personales

Las empresas deben llevar a cabo una evaluación de riesgos antes de iniciar nuevos tratamientos de datos personales. Lo mismo se aplica cuando introducen nuevas tecnologías o sistemas a los procesos existentes. La evaluación determinará los riesgos y las consecuencias que el tratamiento pueda entrañar para los interesados. Además, el análisis y la evaluación incluirán las salvaguardias que debe adoptar la empresa para minimizar los riesgos. 

Evaluación de impacto de la protección de datos (DPIA)

Si el tratamiento de datos personales plantea un alto riesgo para los derechos y libertades de los interesados, la empresa debe llevar a cabo y documentar una evaluación de impacto sobre la protección de datos. En este caso, la empresa evaluará los riesgos y las medidas de seguridad, con el fin de minimizar los riesgos del tratamiento. Es especialmente importante llevar a cabo una evaluación de impacto sobre la protección de datos cuando la empresa vaya a utilizar nuevas tecnologías o tratar datos personales sensibles u otros datos personales sensibles a la privacidad a gran escala. 

Evaluación del impacto de la transferencia de datos (DTIA)

Cuando una empresa dentro de la UE transfiere datos personales a un país fuera del área de la UE / EEE, es decir, un tercer país bajo el RGPD, se aplican normas más estrictas. Si el tercer país en cuestión tiene un nivel adecuado de protección de acuerdo con la decisión de la Comisión Europea, la empresa no necesita adoptar ninguna salvaguardia adicional para la transferencia de datos. Sin embargo, la empresa debe adoptar salvaguardias adicionales si el tercer país no tiene un nivel adecuado de protección de acuerdo con la Comisión Europea. Entre otras cosas, la empresa debe llevar a cabo una evaluación de impacto de transferencia de datos si tiene la intención de utilizar un servicio en la nube para el almacenamiento de datos de un proveedor de servicios en la nube en un tercer país.

Solicitar consulta previa con la autoridad nacional de protección de datos

Si el riesgo para los derechos y libertades de las personas sigue siendo elevado después de que la empresa haya llevado a cabo una evaluación de impacto, la empresa debe solicitar una consulta previa con la autoridad nacional de protección de datos. Esto puede llevar a la autoridad de protección de datos a decidir que se trata de un tratamiento permitido, qué partes del tratamiento deben modificarse para que se permita o prohíba el tratamiento. Tenga en cuenta que las empresas deben llevar a cabo y documentar una evaluación de impacto completa antes de solicitar una consulta previa con arreglo al artículo 36 del RGPD. 

Equilibrio de intereses para evaluar el interés legítimo

El interés legítimo es una de las seis (6) bases jurídicas sobre las que las empresas pueden apoyar un tratamiento, de conformidad con el artículo 6, apartado 1, letra f), del RGPD. Para determinar si la empresa tiene un interés legítimo o no, la empresa debe llevar a cabo y documentar una evaluación de interés legítimo (LIA). Esto significa que la empresa pone sus intereses en contra de los intereses o derechos y libertades fundamentales de los interesados. Las autoridades no pueden utilizar el interés legítimo como base jurídica. 

¿Cuándo pueden las empresas tener un interés legítimo en el tratamiento de datos personales?

Estos son algunos ejemplos de cuándo una empresa puede tener un interés legítimo en el procesamiento de datos personales:

What is the definition of anonymised data?
Comercialización directa

Una empresa puede tener un interés legítimo en enviar publicidad por correo electrónico a antiguos clientes. Por otro lado, normalmente no existe un interés legítimo en enviar publicidad por correo electrónico a «clientes fríos». En tales casos, el consentimiento es más apropiado de usar. El tratamiento de datos personales con fines de marketing directo puede considerarse un interés legítimo de conformidad con el considerando 47 del RGPD.

Measures that companies need to take to comply with GDPR
Intercambio de datos dentro del grupo

Las empresas que forman parte del mismo grupo pueden tener un interés legítimo en compartir datos personales dentro del grupo con fines administrativos internos. Por ejemplo, para el procesamiento de datos personales de empleados o clientes. Esto se indica en el considerando 48 del RGPD.

Subjektivt integritetskänsliga personuppgifter
Prevención de la delincuencia

Una empresa puede tener un interés legítimo en el procesamiento de datos personales para prevenir delitos como el fraude. Tenga en cuenta que el procesamiento en cuestión debe ser estrictamente necesario para este propósito.

Sensitive personal data according to GDPR
Seguridad de los empleados

Puede haber un interés legítimo en tener que garantizar la seguridad de los empleados de la empresa.

APRENDE MÁS

Seguridad de la información

Las empresas protegerán los datos personales tratados adoptando las medidas de seguridad organizativas y técnicas adecuadas. Por ejemplo, tener archivos de copia de seguridad en un servicio en la nube, instalar software antivirus, ofrecer capacitación RGPD al personal, establecer los acuerdos y documentos necesarios relacionados con RGPD, etc. El punto de partida es que cuanto más importantes sean los datos personales, más estrictos serán los requisitos.

¿Quieres saber más?

Leer más
Scroll al inicio