Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos.
Esta información deberá facilitarse con carácter previo a la realización de la transferencia.
Lo dispuesto en este artículo no será de aplicación a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos, de acuerdo con el artículo 49.3 del Reglamento (UE) 2016/679.
1. Evaluación de Impacto en la Protección de Datos (EIPD)
La Evaluación de Impacto en la Protección de Datos es un análisis que debe realizarse cuando un tratamiento de datos personales pueda implicar un alto riesgo para los derechos y libertades de las personas. Este análisis ayuda a identificar y mitigar esos riesgos antes de proceder con el tratamiento.
Supuestos que Requieren una EIPD:
- Tratamientos a gran escala de categorías especiales de datos: Como los datos de salud, origen étnico, opiniones políticas, creencias religiosas, orientación sexual, datos genéticos o biométricos.
- Evaluación sistemática y exhaustiva de aspectos personales: Como la elaboración de perfiles que afecten significativamente a los individuos, por ejemplo, en la toma de decisiones automatizadas que producen efectos jurídicos sobre la persona.
- Monitorización a gran escala de zonas de acceso público: Por ejemplo, la videovigilancia masiva en lugares públicos.
- Tratamientos que impliquen el uso de nuevas tecnologías: En especial, cuando estas tecnologías pueden afectar significativamente los derechos fundamentales, como el uso de inteligencia artificial para analizar comportamientos.
2. Consulta Previa a la Autoridad de Protección de Datos
Si, tras la realización de la EIPD, el responsable del tratamiento identifica que existen riesgos elevados que no pueden mitigarse adecuadamente, está obligado a consultar a la autoridad de protección de datos antes de iniciar el tratamiento.
Supuestos que Requieren Consulta Previa:
- Riesgos elevados no mitigados: Si los riesgos para los derechos y libertades de los interesados persisten, incluso después de haber implementado medidas para mitigarlos, se debe realizar una consulta previa.
- Tratamientos basados en la normativa que exigen consulta previa: Algunos tipos de tratamientos pueden estar sujetos a consulta previa por requerimiento legal o normativo específico.
3. Requisitos de la Consulta Previa
Durante la consulta previa, el responsable del tratamiento debe proporcionar a la autoridad competente la siguiente información:
- EIPD realizada: Un informe detallado sobre la evaluación de impacto en la protección de datos, incluyendo la descripción del tratamiento previsto y los riesgos identificados.
- Medidas de mitigación: Descripción de las medidas técnicas y organizativas previstas para mitigar los riesgos.
- Datos de contacto del responsable o encargado: Información sobre el responsable del tratamiento o el delegado de protección de datos, si aplica.
- Otros detalles solicitados por la autoridad: Cualquier otra información que la AEPD pueda requerir para evaluar adecuadamente el riesgo y proporcionar orientación.
4. Decisión de la Autoridad de Protección de Datos
La AEPD revisará la consulta previa y podrá:
- Aprobar el tratamiento con recomendaciones: Si considera que los riesgos pueden ser gestionados adecuadamente, puede aprobar el tratamiento sugiriendo recomendaciones adicionales.
- Prohibir el tratamiento: Si determina que los riesgos no pueden ser mitigados adecuadamente, la AEPD puede prohibir el tratamiento o imponer condiciones específicas para su realización.
- Solicitar más información: Si la AEPD considera que la información proporcionada es insuficiente, puede solicitar detalles adicionales antes de tomar una decisión final.
5. Importancia del Proceso
Este proceso de información previa es crucial para garantizar que los tratamientos de datos personales que presentan altos riesgos sean cuidadosamente evaluados y regulados antes de su implementación. Esto protege tanto a los individuos como a las organizaciones al prevenir posibles infracciones y sanciones derivadas de tratamientos inadecuados de datos personales.