Artículo 35 RGPD: Evaluación de Impacto en la Protección de Datos (DPIA)

El artículo 35 del RGPD exige la realización de un Evaluación de impacto de la protección de datos (DPIA) antes de cualquier tratamiento que pueda causar un alto riesgo por los derechos y libertades de las personas físicas. El objetivo: anticipar impactos, limitar riesgos y documentar medidas de seguridad.

Explicación del artículo 35 del RGPD

Se requiere un AIPD en particular en los siguientes casos:

Tratamiento a gran escala de datos sensibles o altamente personales;
Monitoreo sistemático de áreas de acceso público;
Referencias cruzadas de datos masivas, elaboración de perfiles, puntuación automatizada...

El AIPD incluye:

Una descripción del tratamiento y sus finalidades;
Una evaluación de la necesidad y proporcionalidad;
Una evaluación de riesgos para los derechos y libertades;
Las medidas previstas para limitar estos riesgos.

¿Por qué es importante este artículo para su cumplimiento del RGPD?

El AIPD permite d’anticipar riesgos legales, éticos y técnicos, y demostrar el cumplimiento. Es necesario en muchos casos y constituye un pilar del enfoque de riesgos RGPD.

¿Cómo cumplir con el artículo 35 del RGPD?

Identificar tratamientos que puedan requerir DPA;
Utilizar un modelo estructurado validado por la CNIL o un método reconocido (EBIOS, ISO...);
Involucrar a las partes interesadas desde la etapa de diseño del tratamiento;
Análisis documental, acciones correctivas y seguimiento.

Ejemplos de aplicación del artículo 35 del RGPD

Un ayuntamiento instala un sistema de videovigilancia: es obligatorio un AIPD;
Un banco lanza una aplicación de calificación crediticia: se realiza el análisis de impacto;
Una plataforma de RRHH utiliza inteligencia artificial para clasificar aplicaciones: documenta riesgos a través de un AIPD.