1. DESCRIPCIÓN DEL PROYECTO
1.1 Promotor del proyecto
- Nombre o razón social: MARPEDENTAL, S.L.
- Ubicación de las instalaciones: FERNANDO IV , 27 -SEVILLA-41011-SEVILLA
1.2 Funcionalidades previstas e implantación
El Reglamento General de Protección de Datos (RGPD) requiere que los responsables del tratamiento apliquen medidas adecuadas para garantizar y poder demostrar el cumplimiento de dicho reglamento, teniendo en cuenta entre otros «los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas» (artículo 24, apartado 1). La obligación de los responsables del tratamiento de llevar a cabo una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en determinadas circunstancias debe entenderse en el contexto de su obligación general de gestionar adecuadamente los riesgos derivados del tratamiento de datos personales.
Un «riesgo» es un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad. Por otra parte, la «gestión de riesgos» puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.
El artículo 35 se refiere a un probable alto riesgo «para los derechos y libertades de las personas». Como se indica en la declaración del Grupo de Trabajo sobre protección de datos del artículo 29 sobre la función de un enfoque basado en el riesgo de los marcos jurídicos sobre protección de datos, la referencia a «los derechos y libertades» de los interesados atañe principalmente a los derechos a la protección de datos y a la intimidad, pero también puede implicar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, la libertad de circulación, la prohibición de discriminación, el derecho a la libertad y la libertad de conciencia y de religión.
1.3 Personas o grupos de personas afectadas
La obligación de realizar una EIPD corresponde al responsable del tratamiento, con el apoyo y colaboración del responsable de seguridad y del delegado de protección de datos.
Responsable del tratamiento: MARPEDENTAL, S.L.
Responsable de seguridad: MIGUEL ANGEL MARRUFO SANCHEZ
Delegado de protección de datos: Infocitec, S.L.U.
2. IDENTIFICACIÓN Y CLASIFICACIÓN DE LOS DATOS
Los datos personales que se tratan en la instalación vienen descritos en el Registro de Actividades y se agrupan en las siguientes categorías de datos personales:
GESTION PACIENTES
GESTION LABORAL
BOLSA DE TRABAJO
VIDEOVIGILANCIA
Además de esos datos, es indispensable tener en cuenta las categorías especiales de datos personales definidas en el artículo 9 del RGPD, los relativos a condenas e infracciones penales según el artículo 10, y los datos relativos a geolocalización (que implican “observación sistemática a gran escala” según el artículo 35.3.c) del RGPD. Las operaciones de tratamiento efectuadas con alguno de estos datos incrementa el riesgo, por lo que debemos tenerlos en cuenta para el resultado final de éste análisis.
En el punto 4 se indica si la instalación trata alguno de esos tipos de datos.
3. OPERACIONES DE TRATAMIENTO
De acuerdo a la definición de tratamiento que proporciona el RGPD, las operaciones de tratamiento que realiza la instalación, con respecto a los datos personales que maneja, son las siguientes: recogida, registro, organización, conservación, modificación, extracción, consulta, utilización, comunicación, limitación y supresión o destrucción. Cualquier otra operación que se realice con datos personales también se considerará “tratamiento”
4. ANÁLISIS DE LA NECESIDAD DE HACER LA EVALUACIÓN DE IMPACTO
El presente informe se realiza con el propósito de determinar la necesidad de la realización de una EIPD en función del resultado obtenido en base al sector de actividad, a los datos personales que se recogen, a la finalidad de dicha recogida de datos y otra serie de cuestiones. Para ello, se han tenido en cuenta los 3 niveles de análisis que propone la Autoridad Catalana de Protección de Datos en la Guía Práctica publicada en junio de 2017 titulada “Evaluación de impacto relativa a la protección de datos”:
- Primer nivel de análisis: verificar si el tratamiento está incluido en alguna de las listas previstas en los artículos y 35.5 del RGPD:
- 35.4. “La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.”
- 35.5. “La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.”
Si el tratamiento efectuado en la instalación aparece en la lista de obligados, se debe realizar EIPD, pero si no aparece en esa lista, ni en la de excluidos, se debe pasar al segundo nivel de análisis.
- Segundo nivel de análisis: determinar si el tratamiento está incluido en los casos previstos en el artículo 35.3 del RGPD, que son los siguientes:
- Cuando la finalidad es la evaluación «sistemática y exhaustiva», de carácter automatizado, de varios aspectos de la persona, en general cuando se elaboran perfiles y su alcance implica efectos de tipo jurídico, o que pueden afectar significativamente a las personas como consecuencia de la toma de decisiones basadas en la información que se trata.
- Cuando se pretenden tratar categorías especiales de datos a gran escala (gran volumen de información, gran cantidad de personas afectadas, amplia extensión geográfica,…).
- Cuando se realiza observación sistemática a gran escala de zonas de acceso público. Se debe interpretar el concepto «observación» de manera amplia, como equivalente de «seguimiento»; por lo tanto, no tiene por qué limitarse a los sistemas de videovigilancia, sino que su alcance incluye cualquier tratamiento que implique la monitorización de personas. En éste punto se incluyen los datos relativos a geolocalización (que implica el tratamiento de datos cuya finalidad es conocer la ubicación geográfica de personas físicas).
La necesidad de realización de una EIPD viene descrita también en el considerando nº 91 del RGPD, en el que se introduce una excepción para determinar la obligación o no de realizarla: “…. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la evaluación de impacto de la protección de datos no debe ser obligatoria”.
Si el tratamiento no encaja en ninguno de éstos tres casos tampoco, no se puede afirmar que no sea necesaria la EIPD, sino que se debe pasar al tercer nivel de análisis.
- Tercer nivel de análisis: valorar la naturaleza del tratamiento, el alcance y las finalidades de manera más amplia. Para ello tenemos en cuenta los criterios que el grupo de trabajo del artículo 29 (GT29), órgano consultivo independiente de la UE en materia de protección de datos, propone en su guía WP 248 para detectar el alto riesgo. En base a esa guía, y junto con las cuestiones que plantea la herramienta “FACILITA” realizada por la Agencia Española de Protección de datos, para el cumplimiento de empresas con bajo riesgo, evaluamos el riesgo existente en la instalación cumplimentando lo siguiente:
| Actividades | |
| Actividades de servicios sociales | |
| Actividades políticas, sindicales o religiosas | |
| Entidades bancarias y financieras | |
| Generación y uso de perfiles | |
| Sanidad |
X |
| Seguros | |
| Servicios de telecomunicaciones | |
| Solvencia patrimonial y crédito | |
| Videovigilancia masiva (zonas de acceso público) | |
| Categorías Especiales de Datos | |
| Datos biométricos para identificar a una persona (huella dactilar, reconocimiento facial,…) | |
| Datos de afiliación sindical (excepto cuotas sindicales) | |
| Datos de opiniones políticas o convicciones religiosas | |
| Datos de salud física o mental |
X |
| Datos genéticos | |
| Datos que revelen origen étnico o racial | |
| Datos relativos a condenas o infracciones penales | |
| Datos relativos a la vida sexual o a la orientación sexual | |
| Finalidades | |
| Gestión, control sanitario o venta de medicamentos | |
| Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical | |
| Hacer o analizar perfiles (evaluación sistemática y exhaustiva de aspectos personales que se base en un tratamiento automatizado y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para esas personas, que les afecten significativamente o puedan perjudicar de alguna manera) | |
| Hacer publicidad y prospección comercial masiva a potenciales clientes | |
| Historial clínico o sanitario |
X |
| Prestación de servicios de explotación de redes públicas o servicios de comunicación electrónica (proveedor
de servicios de Internet) |
|
| Otras cuestiones específicas | |
| El tratamiento de datos personales lo realiza un sólo médico o profesional de la salud; o un abogado. | |
| Se cruzan los datos obtenidos de los interesados con otros disponibles de otras fuentes (por ejemplo: cruzar los datos de clientes con ficheros de solvencia patrimonial) | |
| Se guardan datos de una gran cantidad de personas (por ejemplo: hospitales, bancos, aseguradoras, grandes empresas,. ) | |
| Se realizan transferencias internacionales de datos a paises fuera de la UE y que no cuentan con las
medidas de protección similares a las establecidas por la Autoridad de Control. Los siguientes paises se consideran seguros: Andorra, Argentina, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay. |
|
| Se recogen datos de geolocalización (rastreo automatizado de la ubicación geográfica de personas). | |
| Se tratan datos de personas vulnerables (menores, discapacitados mentales, ancianos, personas con riesgo
de exclusión,.. ) |
|
5. IDENTIFICACIÓN DE PERSONAS Y GRUPOS AFECTADOS POR LOS TRATAMIENTOS
Los colectivos de personas afectadas que se tratan en la instalación vienen descritos en el Registro de Actividades en el apartado dedicado a los colectivos, se acuerdo a la siguiente tabla:
| TRATAMIENTO | COLECTIVOS |
| BOLSA DE TRABAJO | SOLICITANTES |
| GESTIÓN LABORAL | EMPLEADOS |
| GESTIÓN PACIENTES | PACIENTES |
| PADRES O TUTORES | |
| VIDEOVIGILANCIA | PERSONAS QUE ACCEDEN A LAS INSTALACIONES. |
6. CONCLUSIONES Y RECOMENDACIONES
En consonancia con el enfoque basado en el riesgo introducido por el RGPD, no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento. Por el contrario, solo se requiere «cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35.1). No obstante, el mero hecho de que las condiciones que dan lugar a la obligación de llevar a cabo una EIPD no se hayan cumplido no disminuye la obligación general de los responsables del tratamiento de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados. En la práctica, esto significa que los responsables deben evaluar continuamente los riesgos creados por sus actividades de tratamiento a fin de identificar cuando es probable que un tipo de tratamiento entrañe «un alto riesgo para los derechos y libertades de las personas físicas».
En base al análisis efectuado en el punto 4 del presente informe, se puede concluir que existe un cierto nivel de riesgo para los derechos y libertades de los interesados con respecto a sus datos personales, por lo que se hace necesaria la realización de una EIPD. A continuación se incluye el informe correspondiente a la EIPD realizada en la instalación.