Similitudes y diferencias entre el WP248 y la AEPD

Análisis y posterior comparación de la protección de datos en la WP248 y la Agencia de Protección de Datos (AEPD) sobre la obligación de realizar una EIPD.
¿Cuál es la relación entre el listado europeo y español sobre la obligatoriedad de realizar una EIPD?
Vamos a realizar un análisis comparativo entre el listado europeo y el español, partiendo de la base del listado del WP248 y comparándolo con el que utiliza la AEPD.
- Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el número de interesados, el volumen de los datos o la duración del tratamiento. Es el supuesto primero del WP248 y el supuesto 10, añade el riesgo elevado a derechos y libertades fundamentales.
- Toma de decisiones automatizadas con efecto jurídico o similar para la persona. Número 7 AEPD.
- Observación sistemática del individuo. Incluye realmente el perfilado, datos genéticos y biométricos del número 1,2,3, 5 y 6 de la AEPD.
- Datos sensibles o muy personales, es decir, categorías de datos sensibles en los términos ya indicados. Corresponde al número 4 AEPD.
- Realización de una evaluación o puntuación del afectado, incluida la elaboración de perfiles. Nos remitimos de forma conjunta a los número 1,2,3, 5 y 6 de la AEPD.
- Asociación o combinación de conjuntos de datos. Es el número 8 AEDP.
- El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato. Es el número 11 de la AEPD.
- Datos relativos a interesados vulnerables, tales como niños o empleados. Es el número 9 AEDP.
- Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas. Corresponde al número 11 AEDP.
La intención de la Agencia de Protección de Datos con su supuestos. Sin embargo, es criticable:
a) Ha generado dualidad, dado que la correspondencia entre el sistema europeo y el español no es perfecta.
b) No es sistemática, dado que no precisa ningún orden.
c) No es coherente, puesto que separa conceptos análogos como datos genéticos o biométricos.
d) No es exhaustiva, pues no es numerus clausus.
En consecuencia, en vez de generar seguridad jurídica, genera una duplicidad que vuelve a la pregunta originaria –cuando hay que realizar una EIPD obligatoriamente–.
Si buscas un libro de protección de datos, o un buen manual que trate la ley de datos personales te recomiendo ‘Sin Miedo a la Protección de Datos y a los derechos digitales’.
Firmado por Elvira Torres, socia en MediaLAW Tech & Legal en el blog Derecho Disruptivo. Si te interesa la tecnología no dejes de consultar Siglo XXII Legal.