Editado por E. Ciprian, Centro de Estudios Bancarios sobre Gestión de Riesgos y Prevención del Blanqueo de Capitales – Suiza y CEO de EM-RISK Servizi Italia

¿Fotocopias documentos de identidad para identificar correctamente a tus clientes? ¿Utilizas estas fotocopias para otros fines? ¿O seleccionas a tus clientes basándote en una base de datos que vincula su información (por ejemplo, su código fiscal o número de identificación de cliente) con, por ejemplo, su historial crediticio, que proporciona información sobre su solvencia? Por lo tanto, por motivos de privacidad, es necesario clasificar a los clientes como de alto riesgo: así lo establecieron las Autoridades Europeas de Protección de Datos en su documento del 4 de abril de 2017, que define las directrices para la Evaluación de Impacto en la Protección de Datos (EIPD).

El documento aclara qué se entiende por "alto riesgo para los derechos y libertades de las personas físicas". El Reglamento (UE) 2016/679 relativo a la protección de datos personales establece criterios abstractos al respecto, determinando que solo cuando una actividad de tratamiento implica un alto riesgo es obligatoria una evaluación de impacto relativa a la protección de datos (EIPD), que, por consiguiente, adquiere un carácter preventivo.
Las directrices identifican dos tipos de actividades caracterizadas por diferentes factores de riesgo, relacionados, por ejemplo, con la finalidad u objeto del tratamiento, o con los interesados ​​o los métodos empleados. Una finalidad de alto riesgo es el uso de patrones predictivos de comportamientos o condiciones (por ejemplo, el estado de salud).

Ejemplos de alto riesgo relacionados con el objeto del tratamiento son la recopilación de datos sensibles o datos a gran escala (véanse las directrices del DPO al respecto) o la verificación de una base de datos con diferentes bases de datos.
Sin embargo, las actividades que involucran a personas vulnerables debido a su edad, como menores de edad, o a su contexto, como empleados de empresas o pacientes hospitalarios, presentan un riesgo objetivamente alto. El riesgo radica en los métodos empleados cuando, debido a la naturaleza del procesamiento, no es razonablemente posible evitarlo, como en el caso de la videovigilancia sistemática de lugares públicos. El uso de nuevas tecnologías también presenta elementos de alto riesgo, especialmente cuando sus implicaciones concretas aún no se comprenden del todo (las directrices citan el ejemplo de ciertas aplicaciones dentro del Internet de las Cosas), o el procesamiento que podría resultar en la circulación de información, incluso a terceros países inseguros.

Resulta de gran interés el criterio proporcionado por los Garantes Europeos: un tratamiento tiene un alto riesgo cuando se presentan al menos dos factores de riesgo.
El Reglamento, sin embargo, exige un análisis preliminar en el que el Delegado de Protección de Datos (DPD) desempeña un papel fundamental. Su postura respecto a la obligación de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) debe documentarse para su posterior verificación. En caso de duda, deberá realizarse una evaluación de impacto, también para evitar las elevadas sanciones previstas en el Reglamento. A la espera de la aclaración de los criterios de aplicación, cabe destacar que la multa máxima por incumplir la obligación de realizar la EIPD se fija en 10.000.000 € o, para las empresas, la mayor de las siguientes cantidades: el 2 % de la facturación mundial anual del ejercicio anterior.