El precio del formalismo, menospreciar las Evaluaciones de Impacto

La consolidación del Reglamento (UE) 2016/679 (RGPD) trajo consigo un cambio de paradigma fundamental, centrado en torno al principio de responsabilidad proactiva (accountability). En la cúspide de este sistema de cumplimiento, cuando un tratamiento entraña un alto riesgo para los derechos y libertades de las personas, el artículo 35 del RGPD cita la Evaluación de Impacto relativa a la Protección de Datos (EIPD) como una obligación ineludible.

Sin embargo, los recientes casos publicados en resoluciones de profundo calado, como el procedimiento sancionador a AENA (PS/00431/2024) o al Futbol Club Barcelona (EXP202305134), demuestra una tendencia alarmante, abordar la EIPD como un trámite documental o un formalismo burocrático, despojándola de su naturaleza de proceso analítico integral.

Estos son dos expedientes muy comentados, pero sanciones por falta de EIPD o por defectos de forma son muy frecuentes. Aunque las sanciones pueden ser recurridas, el análisis pormenorizado de estas resoluciones nos trae información muy valiosa.

La EIPD como Proceso Integral y la Exigencia de Trazabilidad

El Comité Europeo de Protección de Datos (CEPD) ha sido claro, la EIPD es un proceso, que obliga a actuar, extendiéndose en el tiempo a lo largo de todo el ciclo de vida del tratamiento y no un evento puntual que se reduce a rellenar una plantilla. Durante mucho tiempo hemos tenido una cultura del Check list y eso, evidentemente, no es una EIPD.

Para que este proceso tenga validez, la trazabilidad es un requisito esencial. La documentación debe reflejar un análisis sistemático que demuestre que las decisiones se tomaron de forma fundamentada y en el momento oportuno. En el citado caso AENA, la AEPD constató la presentación de diversas versiones de EIPD sin firmar, sin sello de tiempo que acreditase el momento de su formalización, y carentes de un control de versiones que permitiera trazar e identificar las modificaciones realizadas. Una gestión documental deficiente impide acreditar que la evaluación fue verdaderamente previa al inicio del tratamiento, evidenciando, en muchos casos, que el documento es una mera justificación elaborada a posteriori para amparar una decisión empresarial ya tomada.

Puntos Fundamentales de una EIPD

Conforme al mandato estricto del artículo 35.7 del RGPD, toda EIPD debe integrar, como mínimo, los siguientes pilares materiales:

• Descripción sistemática: Definición precisa de las operaciones de tratamiento (qué se hace) y de sus fines específicos (para qué se hace), diferenciando las operativas concretas del mero propósito estratégico de la entidad. La transparencia es clave y conviene ser riguroso.
• Evaluación de la necesidad, idoneidad y proporcionalidad: Un examen maduro de las operaciones con respecto a la finalidad perseguida, aplicando la doctrina del Tribunal Constitucional mediante un triple juicio: idoneidad, necesidad y proporcionalidad en sentido estricto. La gran mayoría de EIPD fallan en la necesidad, en especial, si se usan tecnologías disruptivas y se tiene una alternativa igualmente válida pero menos invasiva. Si no se supera esta evaluación, es muy complicado que la EIPD sea favorable, por muchas salvaguardas técnicas que se quieran implantar. Primero, el tratamiento debe tener una base legitimadora correcta y ser proporcional, después se examinan las medidas técnicas para evitar riesgos.
• Análisis de riesgos: Identificación exhaustiva de las amenazas para los derechos y libertades fundamentales de los interesados, evaluando el impacto inherente y la probabilidad de materialización de dichos riesgos. El foco es la clave, no está en la defensa del negocio ni en las medidas para evitar un ciberataque, por ejemplo, está en el impacto a derechos y libertades del usuario afectado. También debemos tener en cuenta lo que pasaría si se produce una brecha de seguridad que afecte a los datos personales.
• Medidas y garantías: Definición de los controles, garantías y medidas de seguridad técnicas y organizativas adoptadas para afrontar, mitigar o eliminar los riesgos identificados, demostrando la conformidad con el RGPD. No es posible invocar escasez de medios o falta de presupuesto, hay que ser realistas e implementar las medidas necesarias para asegurar el tratamiento.
• Incluye todos los anexos y documentos que avalen las decisiones tomadas, le dará fuerza a la EIPD. Actas, análisis de tecnología, pruebas, contratos, anexos, a mayor documentación que respalde la EIPD mayor posibilidad de trazabilidad.

(Imagen: E&J)

Errores Frecuentes en el Abordaje de la EIPD.

El análisis de los procedimientos sancionadores de mayor eco mediático revela patrones de incumplimiento reiterados en las organizaciones a la hora de acometer este análisis:

Bajo mi punto de vista, uno de los más frecuentes, es encontrar evaluaciones donde se justifican exhaustivamente las ventajas empresariales, operativas o comerciales del tratamiento, mientras se omiten o minimizan las desventajas y limitaciones que este supone para los derechos de los afectados. El juicio de proporcionalidad no evalúa si un sistema es rentable para el responsable, sino si sus beneficios para el interés general superan los perjuicios sobre la privacidad. Confundir conveniencia con necesidad es muy frecuente en biometría y tecnologías emergentes, por ejemplo.

Sobre la necesidad, se ha escrito mucho, la EIPD es nula si no demuestra que se han evaluado opciones menos invasivas que alcancen el mismo objetivo. Descartar alternativas simplemente porque ralentizan un proceso corporativo o resultan menos cómodas contraviene el espíritu de la norma. En este punto me aseguraría de tener muchos datos que avalen la decisión, datos reales y contrastados.

El siguiente punto es una gestión del riesgo deficiente e incompleta. Muchos responsables omiten la identificación de los riesgos inherentes concretos que aporta una tecnología específica. Por ejemplo, valorar los riesgos sin una metodología contrastada, no tener claro por qué has decidido esa probabilidad y ese impacto, generando matrices de riesgo muy estéticas, pero sin sustento real. Si no hay datos, una metodología, un riesgo inherente y un riesgo residual, el análisis probablemente sea solo una estimación.

Por supuesto, realizar el análisis de riesgos después de haber firmado los contratos con los proveedores tecnológicos, o no actualizar la EIPD cuando el tratamiento sufre alteraciones en la fase operativa, vacía de contenido el principio de privacidad desde el diseño.

En conclusión

La Evaluación de Impacto no ha sido concebida por el legislador como un obstáculo burocrático a la innovación, sino como la garantía última que salvaguarda los derechos fundamentales de los ciudadanos frente al despliegue tecnológico desproporcionado.

Cuando una organización, amparada en objetivos de negocio como la agilización de procesos o la modernización, despliega tecnologías invasivas, como el reconocimiento facial, agentes de IA o similar, incurre en una grave negligencia si no somete sus intenciones a un estudio jurídico y técnico profundo.

El mero hecho de que una tecnología exista en el mercado o resulte útil no otorga un cheque en blanco para su utilización indiscriminada. La EIPD obliga a la organización a realizar un ejercicio de madurez jurídica y ética, obligando al responsable a reconocer, si procede, que un tratamiento no puede llevarse a cabo por resultar desproporcionado o innecesario. Solo a través de una EIPD íntegra, transparente y correctamente trazada, las organizaciones pueden asegurar que el desarrollo digital avanza de la mano del respeto al derecho fundamental a la protección de datos personales.