El artículo 35 del RGPD cubre la evaluación de impacto de protección de datos. Este nuevo requisito bajo el GDPR forma parte del principio de «protección por diseño«. De acuerdo con la ley:
Cuando un tipo de procesamiento en particular utilizando nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento, pueda dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el controlador deberá, antes de el procesamiento, realizar una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales.
Aunque la ley exige una evaluación de impacto de protección de datos bajo ciertas condiciones, es poco útil en términos específicos. La finalidad es demostrar que se han tomado las medidas necesarias y adecuadas para garantizar el cumplimiento de la Ley. Para ayudar a aclarar la situación, aquí hay algunos ejemplos concretos de los tipos de condiciones que requerirían una evaluación de impacto de protección de datos.
- Si estás usando nuevas tecnologías.
- Si está rastreando la ubicación o el comportamiento de las personas.
- Si está monitoreando sistemáticamente un lugar de acceso público a gran escala.
- Si está procesando datos personales relacionados con «origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y el procesamiento de datos genéticos, datos biométricos con el fin de identificar de manera única a una persona física, datos relacionados con la salud o datos sobre la vida sexual u orientación sexual de una persona física».
- Si su procesamiento de datos se utiliza para tomar decisiones automatizadas sobre personas que podrían tener efectos legales (o similares).
- Si está procesando datos de niños.
- Si los datos que está procesando podrían provocar daños físicos a los interesados si se filtran.
En otros casos, donde no se cumple el estándar de alto riesgo, puede ser prudente llevar a cabo una evaluación de impacto de protección de datos para minimizar su responsabilidad y garantizar que se sigan las mejores prácticas para la seguridad y privacidad de los datos en su organización. La mayoría de las violaciones de datos desencadenan ciertos requisitos reglamentarios.