Toda acción que implica el tratamiento de datos personales implica un riesgo, tanto para quien los trata, ya sea un responsable o encargado del tratamiento, como, en consecuencia, para la persona a la que se refieren los dichos datos personales.
Identificar y conocer el riesgo es fundamental para cumplir con la legislación en materia de protección de datos personales y generar confianza en todas las partes interesadas, la persona a la que se refieren los datos personales, los inversores y accionistas de una empresa, las autoridades competentes y un largo etcétera.
Identificar el riesgo que implica o pueda implicar el tratamiento de los datos personales es el primer paso para evitar vulnerar el derecho fundamental a la protección de datos personales.
Al respecto, es necesario considerar también que la aproximación basada en el riesgo es uno de los pilares sobre los que se basa el Reglamento General de Protección de Datos y que el mismo no es nuevo ya que también se encontraba en el porqué de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
En concreto, ya el Considerando 53 de dicha Directiva explicaba que “determinados tratamientos pueden presentar riesgos particulares desde el punto de vista de los derechos y las libertades de los interesados, ya sea por su naturaleza, su alcance o su finalidad, como los de excluir a los interesados del beneficio de un derecho, de una prestación o de un contrato, o por el uso particular de una tecnología nueva”.
Y, siguiendo lo que decía la Directiva, el Reglamento General de Protección de Datos incide, de manera expresa, en la aproximación basada en el riesgo para la imposición de algunas obligaciones tendentes a proteger a la persona por lo que se refiere al tratamiento de sus datos personales.
Una de dichas obligaciones, que al mismo tiempo es una medida adecuada que permite obtener importantes beneficios para cualquier organización, pública o privada, que trate datos personales, como responsable o encargado del tratamiento, es la evaluación de impacto relativa a la protección de datos (en inglés, Privacy Impact Assessment, PIA).
A pesar de que dichas evaluaciones son una de las principales novedades que introduce el Reglamento General de Protección de Datos, es necesario recordar que ya la Agencia Española de Protección de Datos publicó, en 2014, una Guía para una Evaluación de Impacto de Protección de Datos Personales (EIPD) en la que mencionaba también que “la realización de una EIPD es un excelente ejercicio de transparencia, base de una relación de confianza”.
Queda así claro que el tratamiento de datos personales requiere actuar con responsabilidad (en inglés, accountability), adoptando e implementando medidas adecuadas, de manera que no se convierta en un riesgo, vulnerando el derecho fundamental a la protección de datos personales y, por tanto, pudiendo dar lugar a sanciones económicas en caso de verificación de una infracción, así como la pérdida de confianza y otros daños reputacionales.
Tanto la aproximación basada en el riesgo como la evaluación de impacto relativa a la protección de datos son algunas de las cuestiones que se analizan en el libro titulado Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, en el que han participado más de una treintena de autores bajo la dirección del Dr. José Luis Piñar Mañas.
En definitiva, identificar y gestionar el riesgo que implica o puede implicar todo tratamiento de datos personales, en particular cuando éste sea alto para los derechos y libertades de las personas físicas, es tanto una obligación como una media preventiva que permite generar confianza, además de cumplir con la normativa aplicable.
Miguel Recio Gayo es abogado y Master en Protección de Datos, Transparencia y Acceso a la Información.