RISK4ALL | Trabajando con risk4all (I)- Cuándo debe hacerse una evaluación de impacto para la privacidad PIA

30 abril, 2020 In Artículo

Trabajando con risk4all (I)- Cuándo debe hacerse una evaluación de impacto para la privacidad PIA

El artículo 35 del GDPR establece una lista de situaciones en las que sería necesario hacer una evaluación de impacto para la privacidad (PIA por sus siglas en inglés).

A priori, podría parecer una cuestión sencilla de aplicar, pero no lo es tanto por varios motivos:

Por un lado, el propio listado del GDPR abusa de conceptos ambiguos e imprecisos (alto riesgo, gran escala, nuevas tecnologías, etc.). Estos conceptos están abiertos a la interpretación de cada persona, lo cual puede provocar discrepancias, incluso entre autoridades de protección de datos.
Por otro lado, el GDPR requiere a las autoridades nacionales para que publiquen sus propias listas de casos que necesitan PIA y habilita la publicación de listas de casos donde no sería necesario. Por ejemplo, estos son los listados de España y Portugal
- España: https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf
- Portugal: https://www.cnpd.pt/bin/decisoes/regulamentos/regulamento_1_2018.pdf
Además, en España, el artículo 28 de la LOPDGDD recoge otro listado de casos que podrían necesitar PIA.

Es decir, en España convivimos con 3 listados similares pero diferentes que, además, no siempre son coherentes entre sí, lo cual dificulta en gran medida determinar si procede o no hacer un PIA. Por ejemplo, el art. 35.3.b) del GDPR requiere realizar un PIA cuando se lleve a cabo un tratamiento de datos biométricos a gran escala; sin embargo, para el art. 28.2.c) de la LOPDGDD, bastaría con que el tratamiento de los datos biométricos no fuese incidental o accesorio (algo que ya fue rechazado por el Comité Europeo de Protección de Datos (EDPB) cuando recibió la lista de la AEPD, pero que sigue en el texto vigente de la LOPD de 2018).

Para solucionar este problema, en risk4all hemos valorado cada lista por separado, de forma que, dependiendo de la información recogida en el Registro de Actividades de Tratamiento (RAT) y del país donde se encuentra el responsable o encargado del tratamiento, la herramienta ofrece automáticamente una recomendación sobre la necesidad de realizar un PIA y la justifica con la referencia exacta al listado correspondiente.

Además, esta mecánica permite ir añadiendo los listados correspondientes para cada país o, incluso, que una organización definiese sus propias casuísticas adicionales.

Sin duda, es una gran ayuda para sistematizar esta valoración, sin importar la cantidad de listas que deba compatibilizar una entidad o los países donde tenga presencia un grupo empresarial.

risk4all

Tags:

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
cookielawinfo-checkbox-x	1 year	Description is currently not available.
Path	session	Description is currently not available.

Trabajando con risk4all (I)- Cuándo debe hacerse una evaluación de impacto para la privacidad PIA

Trabajando con risk4all (I)- Cuándo debe hacerse una evaluación de impacto para la privacidad PIA

Tags:

Consentimiento de cookies