Similitudes y diferencias entre el WP248 y la AEPD

Análisis y posterior comparación de la protección de datos en la WP248 y la Agencia de Protección de Datos (AEPD) sobre la obligación de realizar una EIPD.

¿Cuál es la relación entre el listado europeo y español sobre la obligatoriedad de realizar una EIPD?

Vamos a realizar un análisis comparativo entre el listado europeo y el español, partiendo de la base del listado del WP248 y comparándolo con el que utiliza la AEPD.

1. Tratamiento de datos personales a gran escala, debiendo considerar al respecto, por ejemplo, el número de interesados, el volumen de los datos o la duración del tratamiento. Es el supuesto primero del WP248 y el supuesto 10, añade el riesgo elevado a derechos y libertades fundamentales.
2. Toma de decisiones automatizadas con efecto jurídico o similar para la persona. Número 7 AEPD. 
3. Observación sistemática del individuo. Incluye realmente el perfilado, datos genéticos y biométricos del número 1,2,3, 5 y 6 de la AEPD.
4. Datos sensibles o muy personales, es decir, categorías de datos sensibles en los términos ya indicados. Corresponde al número 4 AEPD.
5. Realización de una evaluación o puntuación del afectado, incluida la elaboración de perfiles. Nos remitimos de forma conjunta  a los número 1,2,3, 5 y 6 de la AEPD.
6. Asociación o combinación de conjuntos de datos. Es el número 8 AEDP. 
7. El tratamiento de los datos personales impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato. Es el número 11 de la AEPD.
8. Datos relativos a interesados vulnerables, tales como niños o empleados. Es el número 9 AEDP.
9. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas. Corresponde al número 11 AEDP. 

La intención de la Agencia de Protección de Datos con su supuestos. Sin embargo, es criticable:

a) Ha generado dualidad, dado que la correspondencia entre el sistema europeo y el español no es perfecta.

b) No es sistemática, dado que no precisa ningún orden.

c) No es coherente, puesto que separa conceptos análogos como datos genéticos o biométricos.

d) No es exhaustiva, pues no es numerus clausus. 

En consecuencia, en vez de generar seguridad jurídica, genera una duplicidad que vuelve a la pregunta originaria –cuando hay que realizar una EIPD obligatoriamente–.

Si buscas un libro de protección de datos, o un buen manual que trate la ley de datos personales te recomiendo ‘Sin Miedo a la Protección de Datos y a los derechos digitales’.

Firmado por Elvira Torres, socia en MediaLAW Tech & Legal en el blog Derecho Disruptivo. Si te interesa la tecnología no dejes de consultar Siglo XXII Legal.