NOVEDADES EN MATERIA DE PROTECCIÓN DE DATOS
Introducción
La Agencia Española de Protección de Datos (AEPD) en los meses de mayo y junio ha publicado interesante material para ayudar en la implementación e interpretación de la normativa de protección de datos. De este material destaca: (i) un listado de actividades de tratamiento que requieren de una Evaluación de Impacto relativa a la Protección de Datos (EIPD); (ii) recomendaciones para acometer la anonimización de datos personales; y (iii) dos estudios técnicos para impulsar el cumplimiento de la normativa de protección de datos en los dispositivos Android.
A continuación indicamos un breve comentario de las citadas publicaciones de la AEPD.
Actividades de tratamiento que exigen una EIPD
El Reglamento General de Protección de Datos (RGPD) determina que cuando es probable que los tratamientos de datos personales generen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento está obligado a realizar una EIPD. Dicha EIPD examina el origen, la naturaleza, la particularidad y la gravedad del riesgo para mitigar el mismo.
De acuerdo con lo dispuesto en el RGPD, la AEPD tiene la obligación de publicar una lista de los tipos de operaciones de tratamiento de datos personales que necesitan de una evaluación de impacto. Con ello se aporta seguridad jurídica en relación a los tratamientos de datos personales que es probable que den lugar a un alto riesgo. Así, por ejemplo, dicho listado incluye, entre otros: (i) el tratamiento de datos a gran escala, (ii) los tratamientos por los que se perfilan o valoran sujetos, incluida la recogida de datos del sujeto (tales como el desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos, (iii) los tratamientos que conllevan la toma de decisiones automatizadas o que contribuyan en gran medida a la adopción de tales decisiones, lo que comprende cualquier decisión que impide a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o ser parte de un contrato, (iv) los tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva y (v) los tratamientos de categorías especiales de datos o datos sensibles (por ejemplo: datos de salud).
Recomendaciones para la anonimización
En esta nota la AEPD aborda principalmente los límites en la efectividad de la anonimización, el margen real de anonimización y la gestión del riesgo de reidentificación. Para esta última cuestión, la AEDP analiza la técnica conocida como “K-anonimidad”, que permite conocer el grado de identificación que podría hallarse en un conjunto de datos supuestamente anónimos.
Estudios para facilitar el cumplimiento del derecho a la normativa de protección de datos en Android
Los dos estudios publicados por la AEPD tratan de ayudar tanto a los usuarios como a los desarrolladores de aplicaciones Android. Así, la AEPD ofrece a los usuarios información y consejos sobre la personalización de anuncios. Además, presenta recomendaciones para ayudar a los desarrolladores con respecto al cumplimento de la normativa de protección de datos y clarifica las prácticas, en ocasiones extendidas, a evitar que vulneran dicha normativa. Por ejemplo, se examina cómo se debe informar a los usuarios.
