¿Tienen las administraciones públicas que hacer una evaluación de impacto de aquellas iniciativas legislativas que impliquen datos personales?
La respuesta es clara, SI. Hace unos días la Agencia Española de Protección de Datos, (en adelante EIPD), ha publicado unas orientaciones prácticas para llevar a cabo dichas evaluaciones de impacto en el marco de la elaboración de la memoria de análisis de impacto normativo.
Dichas orientaciones están dirigidas a los organismos del sector público que promuevan proyectos normativos que impliquen tratamientos de datos personales y a sus delegados de protección de datos.
En el documento se analizan los requisitos previos para saber si hay que hacer esa evaluación de impacto, cómo debe realizarse y qué aspectos se deben tener en cuenta para evaluar su calidad.
A lo largo de este artículo extraeremos los aspectos más relevantes de esta guía, pero antes para una mayor comprensión debemos hacernos las siguientes preguntas.
¿QUÉ ES LA MEMORIA DEL ANÁLISIS DE IMPACTO NORMATIVO (MAIN)?
Es el documento en el que se recoge y unifica la información que acompaña a un proyecto normativo, justificando su oportunidad y necesidad y realizando una estimación del impacto en diferentes ámbitos de la realidad que tendrá su aprobación.
El Análisis de Impacto Normativo es:
- Un proceso continuo que ha de permitir adaptar la norma para minimizar dicho impacto.
- No es un puro trámite que deba cumplirse una vez se haya terminado de redactar una nueva propuesta normativa.
- Ni tampoco es un trámite que se agote con la elaboración de la Memoria.
¿A QUÉ NECESIDAD RESPONDE LA MEMORIA DEL ANÁLISIS DE IMPACTO NORMATIVO?
La Memoria del análisis de impacto normativo, permite contar con un proceso sistemático y estructurado para conocer cuáles son los elementos que deben analizarse en la adopción de una nueva propuesta normativa.
¿QUIÉN TIENE QUE HACER LA MEMORIA DEL ANÁLISIS DE IMPACTO NORMATIVO?
La Memoria se elabora por el órgano o centro directivo impulsor y responsable de la propuesta normativa. Cuando se trate de una propuesta conjunta, la elaboración y actualización de la Memoria será responsabilidad del órgano o centro directivo de quien parta la iniciativa, si bien en ella participarán todas las unidades proponentes.
¿CUÁNDO DEBE HACERSE LA MEMORIA?
La Memoria se realizará de manera simultánea a la elaboración del proyecto normativo, desde su inicio hasta su finalización.
Pues bien, en este punto y tal y como se estable en el R.D. 931/2017 es donde entra en juego la EIPD, la cual debe realizarse desde el diseño de la norma.
Si bien previamente a realizar una EIPD es necesario determinar la existencia de datos personales, de tal forma que si la norma no propone o implica tratamiento alguno de datos personales no es necesario llevar a cabo la EIPD.
Una vez determinada la existencia de datos personales, el siguiente paso, es delimitar cuando hay que realizar una EIPD. Tanto la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), así como las opiniones del SEPD (apartado II.5 de la Guía de Necesidad del SEPD) exponen que la evaluación de impacto de una normativa con relación a la protección de datos debe realizarse en los casos en que la medida legislativa propuesta implique el tratamiento de datos personales. Cualquier operación de tratamiento de datos prevista por la legislación supone una limitación del derecho a la protección de los datos personales, independientemente de que dicha limitación pueda estar justificada.
Por tanto, el tratamiento de datos personales supone una limitación al derecho a la protección de datos. Tal como establece el art. 52.1 de la Carta de los Derechos Fundamentales de la Unión Europea, así como el TJUE en su jurisprudencia, la limitación debe respetar la esencia del derecho a la protección de datos para que sus elementos fundamentales no queden vacíos de contenido y acabar impidiendo así el ejercicio de este.
En segundo lugar, para valorar la legalidad de cualquier medida propuesta que implique el tratamiento de datos de carácter personal debemos determinar el rango adecuado de la norma.
El art. 8 de la LOPDGGD establece que el tratamiento de datos personales por obligación legal (6.1.c RGPD), interés público o ejercicio de poderes públicos (6.1.e RGPD), así como las especialidades de los tratamientos sometidos a la L.O. 7/2021, solo se podrá considerar fundado cuando así lo prevea o se derive de una competencia atribuida por una norma de Derecho de la Unión Europea o una norma con rango de ley. Por tanto, si la norma no tiene rango de ley, deben identificarse las normas legales que regulan el tratamiento con los requisitos y garantías oportunas y permiten el desarrollo de aspectos parciales del mismo. La AEPD también nos recuerda en este punto, que el consentimiento no es, con carácter general, la base jurídica adecuada para un tratamiento establecido por norma, debido al desequilibro entre el interesado y la autoridad pública responsable. En caso de no existir dicha norma o no cumplir con los requisitos legales y jurisprudenciales para limitar el derecho fundamental, no se puede continuar con la EIPD y deberá proponerse la elaboración de una norma con rango de ley.
En tercer lugar, hay que determinar la calidad de la norma desde la perspectiva de protección de datos: de tal forma que se determinen claramente las bases de legitimación; la identificación del responsable, encargado o corresponsables; se deben definir las cesiones de datos, las categorías de datos tratados, y las medidas para garantizar un tratamiento lícito entre otros aspectos.
En conclusión, que, si la norma no tiene la calidad necesaria desde el punto de vista de protección de datos, antes de iniciar el proceso de EIPD será necesario redactarla de forma precisa.
La EIPD de una norma en la que se plantean tratamientos de datos personales ha de evaluar el impacto que estos tienen sobre los derechos y libertades fundamentales de las personas tomadas individualmente y como sociedad, aportando salvaguardas organizativas, jurídicas y técnicas. La Agencia recuerda que el hecho de que una medida suponga riesgos para los derechos no significa que la medida no pueda proponerse, sino que tendrá que plantearse de forma que supere la Evaluación de impacto, es decir, que esos riesgos para las personas hayan podido mitigarse adecuadamente y se haya superado el análisis de necesidad, proporcionalidad e idoneidad.
Por otro lado, aquellas iniciativas que impliquen tratamientos en los que intervengan inteligencia artificial, decisiones automatizadas, biometría, vigilancia masiva, centralización a gran escala, tratamiento masivo de datos, datos de menores, de personas vulnerables, etc., podrían implicar riesgos adicionales e impactos colaterales indeseados que deben tenerse en cuenta en la evaluación de impacto.
Por lo tanto, no es una evaluación del riesgo legal o de cumplimiento. La jurisprudencia del TJUE y del TEDH indica que la necesidad y proporcionalidad en la normativa de protección de datos es un concepto basado en los hechos, más que una noción jurídica meramente abstracta, y que el tratamiento debe considerarse a la luz de las circunstancias específicas que rodean el caso, así como de las disposiciones de la medida y de la finalidad concreta que pretende alcanzar.
La EIPD de una norma en la que se plantea un tratamiento de datos personales no es un informe jurídico que justifica un tratamiento desde una posición de inmutabilidad de la idea preestablecida. Aunque tiene una parte de análisis jurídico muy importante, también tiene una parte de gestión de limitaciones y riesgos para los derechos y libertades fundamentales, de medidas de gestión organizativa y además un planteamiento de medidas jurídicas y técnicas. La EIPD requiere aplicar una metodología paso a paso, no es una actividad que se pueda automatizar, aunque se pueden emplear herramientas que ayuden en el proceso de realizarla, como Evalúa-Riesgo.
Finalmente, nuestra autoridad de control viene señalando en sus informes más recientes y más concretamente en el informe del anteproyecto de la ley de protección del informante, de la necesidad de que, por parte del legislador, al introducir regulaciones en nuestro ordenamiento jurídico que tengan especial trascendencia en los tratamientos de datos de carácter personal, se proceda previamente a un análisis de los riesgos que puedan derivarse de los mismos, incluyendo en la Memoria de Análisis de Impacto Normativo un estudio sistematizado del impacto que en el derecho fundamental a la protección de datos personales de los interesados han de tener los distintos tratamientos de datos que prevea la normativa en cuestión. En este sentido se han pronunciado el Informe 77/2020, relativo al Anteproyecto de Ley Orgánica de Lucha contra el Dopaje en el Deporte o el Informe 74/2020 referido al Anteproyecto de Ley de memoria democrática.
Asimismo, dada la trascendencia que tiene la garantía del derecho fundamental a la protección de datos personales y con la finalidad de permitir que las disposiciones normativas que se tramitan recojan las garantías específicas que resulten necesarias, nuestra autoridad de control considera necesario que se impulse una modificación del Real Decreto 931/2017, de 27 de octubre, por el que se regula la Memoria del Análisis de Impacto Normativo, con el fin de que se incluyan, tanto en el contenido de la memoria de análisis de impacto normativa como en el de la memoria abreviada, el impacto en la protección de datos personales.