Los autónomos pueden saltarse un requisito en la protección de datos

Los pequeños negocios podrán ahorrarse hasta 3.000 euros si atienden a las últimas aclaraciones de la Agencia Española de Protección de Datos (AEPD). La entidad publicó recientemente un listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto (EIPD). El objetivo de este comunicado es hacer saber a los autónomos los supuestos en los que no es necesario gastar dinero en hacer este análisis.

Se trata de una evaluación que, además, es excesivamente compleja para aquellos que no sean especialistas en la materia, según explicaron desde el área de protección de datos del Departamento Jurídico de grupo Ático34. En este caso, los autónomos dueños de pequeños negocios serían los encargados de realizar dicho análisis de riesgos. Dado que los conocimientos del colectivo sobre esta materia no suelen ser suficientes para realizar un EIPD por su cuenta, tendrían que recurrir a empresas especializadas en Evaluaciones de Impacto en la Protección de Datos Personales que les cobrarán entre 500 y 3.000 euros por tratamiento, tal y como señalaron desde el grupo.

“Son protocolos muy complejos, en los que hay que valorar muchas cuestiones previas. Es absolutamente necesario contar con un experto cualificado, o bien con personas con conocimiento en materia de protección de datos”, explicaron.

Pero, ¿Qué es una Evaluación de Impacto en la Protección de Datos?

La Evaluación de Impacto en la Protección de Datos Personales es un protocolo que permite evaluar  cuáles son los riesgos a los que están expuestos los datos personales de los trabajadores y los clientes de un negocio en función del tratamiento que se les da. En otras palabras, se trata de un análisis que permite al autónomo saber el grado de protección que tienen los datos que maneja en su negocio.  Este análisis es, en principio, obligatorio para todos los  autónomos y empresas que almacenen información personal de sus clientes y trabajadores -con las excepciónes que se expondrán a continuación-.

La EIPD es una herramienta  preventiva para  identificar, evaluar y gestionar los riesgos a los que están expuestos los datos con los que se trabaja en un negocio. Esta evaluación permite determinar el nivel de riesgo que entraña el tratamiento de los datos que hace un negocio (no habrá el mismo riesgo en una pequeña agencia de viajes que guarde datos personales y bancarios de sus clientes que en una gran empresa como Facebook que tenga acceso a una base con millones de datos personales, hábitos o preferencias de sus clientes y que, más tarde, pretendiera facilitarselos a otra empresa dedicada a la publicidad). Al final, se trata de  establecer  medidas de control adecuadas para reducir el riesgo hasta un nivel que las Autoridades de Control consideren “aceptable”.

Los que estén obligados a realizar esta evaluación y no la hagan, podrían  enfrentarse a sanciones de hasta 15.000 euros, debido al peligro al que se verían expuestos trabajadores y clientes. Estas multas podrían darse si los inspectores de la AEPD detectaran una brecha de seguridad o si recibieran alguna reclamación de un afectado explicaron desde Ático34. Por lo que, cualquier autónomo que no lleve a cabo este protocolo es susceptible de enfrentarse a estas sanciones aunque no haya sufrido ningún incidente de seguridad en su negocio.  Ahora bien, no todos los autónomos están obligados a realizar una EIPD. ¿En qué supuestos hay que hacer una evaluación y en cuales no?

Supuestos en los que no es necesario hacer una evaluación de impacto

Dentro de los tratamientos que forman parte del listado publicado por la AEPD de aquellas actividades que no necesitan esta evaluación están- entre otros-, aquellos que lleven a cabo los trabajadores autónomos de manera individual. Por ejemplo médicos, profesionales de la salud o abogados. Sin embargo, los más susceptibles de requerir una evaluación de riesgos son los tratamientos que se hacen a la hora de  gestionar al personal con fines contables, de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos del cliente.

La Agencia, además, puntualizó que no será necesario realizar una EIPD cuando se hagan tratamientos bajo directrices de las Autoridades de Control, en particular la AEPD. Eso sí, siempre y cuando la manera de tratar estos datos no se haya modificado después de que la Administración hubiera emitido su autorización. Es decir, el autónomo debe realizar una nueva evaluación cada vez que cambie la forma de tratar los datos de sus clientes y empleados.

Por ejemplo -explicaron desde el grupo experto en protección de datos-,“imaginemos que un negocio va a implantar una nueva manera de llevar a cabo el registro horario y va a utilizar un sistema de reconocimiento facial (sistema biométrico). Como es un nuevo procedimiento, que implica un nuevo tratamiento que antes no se utilizaba en el negocio, hay que determinar si es susceptible de una evaluación de impacto”.

Celia Ferrero, vicepresidenta ejecutiva de la Federación Nacional de Asociaciones de Trabajadores Autónomos (ATA), señaló que desde la entidad ven muy positivo que se publique un listado de aquellos tratamientos que no necesiten de un informe de EIPD. “Ya existía una lista en la que se especificaban aquellos tratamientos que necesitaban evaluación pero, de esta forma, queda aún más claro. La concisión en estos temas siempre da seguridad jurídica y, evidentemente, permite al autónomo disminuir los costes a la hora de implementar la protección de datos” explicó.

Por otro lado, Ferrero aludió a la ilegibilidad de los textos publicados por la Agencia: “solicitamos un esfuerzo por parte de las administraciones para publicar todas estas normas en un lenguaje más accesible, ya que el vocabulario utilizado puede ser jurídico, pero no es práctico”. Y es que, un autónomo al frente de una mercería, una agencia de viajes, un bar de barrio o cualquier pequeño comercio, se las puede ver y desear para entender tan sólo el  propio título de la guía: “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD”.

Supuestos en los que sí es necesaria una evaluación de riesgo

Será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista:

1. Tratamientos que cubran varios aspectos de personalidad o sobre hábitos.
2. Tratamientos que impliquen cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho, el acceso a un bien o un servicio, o formar parte de un contrato.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva; incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público.
4. Tratamientos que impliquen el uso de datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial.
5. Tratamientos que impliquen el uso de datos biométricos (tecnologías que miden y analizan las características del cuerpo humano) con el propósito de identificar de manera única a una persona física.
6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7. Tratamientos que impliquen el uso de datos a gran escala.
8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social; incluyendo datos de menores de 14 años; mayores con algún grado de discapacidad; personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar.

¿Qué debe incluir una Evaluación de Impacto en la Protección de Datos Personales (EIPD)?

Una EIPD se debe llevar a cabo bajo una metodología que considere los requerimientos exigidos por el RGPD, donde se establece que esta evaluación debe incluir como mínimo: una descripción sistemática de la manera en la que se usan los datos; una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad; un análisis de los riesgos y las medidas previstas para afrontar dichos riesgos, donde se incluirán las garantías, las medidas de seguridad y los mecanismos que garanticen la protección de datos personales.

Infografía de la Agencia Española de Protección de Datos (AEPD)

Para realizar una EIPD hay que llevar a cabo tres pasos:

-Contexto:

• Describir el ciclo de vida de los datos: Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados; intervinientes; terceros; sistemas implicados; y cualquier elemento relevante que participe en la actividad de tratamiento.
• Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

-Gestión de riesgos:

• Identificar amenazas y riesgos: identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento.
• Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
• Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.

-Conclusión y validación:

• Plan de acción y conclusiones: informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas . Si procede,  también el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.