El Consejo de Transparencia y Protección de Datos de Andalucía ha advertido, en un escrito dirigido a organismos e instituciones bajo su ámbito de competencia (administración autonómica, local, universidades), de la necesidad de analizar los proyectos que incluyan elementos innovadores relacionados con el tratamiento masivo de datos, el uso de inteligencia artificial o el reconocimiento biométrico, ya que pueden constituir una amenaza para los derechos y libertades de los ciudadanos, en concreto, para sus derechos en materia de protección de datos.

El sector público está incorporando nuevas técnicas y herramientas para incrementar los servicios prestados a través de la administración digital, actuaciones que aportan indudables ventajas y beneficios a la ciudadanía, si bien pueden suponer riesgos que han de ser debidamente evaluados. Así lo contempla el Reglamento General de Protección de Datos (RGPD) que, en virtud del principio de responsabilidad proactiva que deben cumplir los responsables del tratamiento, exige analizar los riesgos que afectan a los derechos de los ciudadanos para adoptar medidas técnicas y organizativas necesarias con objeto de minimizar su impacto en las personas.

Por ello, es necesario realizar una Evaluación de Impacto relativa a Protección de Datos (EIPD), previamente al inicio de los tratamientos, que incluya una descripción sistemática de las operaciones de tratamiento previstas, una evaluación de la necesidad y la proporcionalidad de dichas operaciones, una evaluación de los riesgos para los derechos y libertades de las personas interesadas y las medidas previstas para afrontar los riesgos.

El Consejo, junto con el resto de autoridades de control de protección de datos, y al objeto de ayudar en la detección de los tratamientos que exigen la realización previa de una evaluación de impacto, ha elaborado una lista orientativa de la condiciones que obligan a un determinado tratamiento someterse a una EIPD.

El órgano de control también ha destacado la importancia del Delegado de Protección de Datos (DPD) en este análisis, figura imprescindible para determinar si un tratamiento requiere una evaluación, así como su posterior desarrollo. De este lado, y como señala el RGPD, los DPD tienen la posibilidad de consultar a la autoridad de control la evaluación realizada, en el caso de entrañar un alto riesgo y si el responsable no toma medidas para mitigarlo.

Por tanto, diseñar, desarrollar y llevar a cabo tratamientos que puedan requerir de una EIPD y no llevarla a cabo, puede suponer, además de un incumplimiento de la normativa, un importante riesgo para los derechos y libertades de las personas interesadas, así como para el éxito del propio proyecto que se está poniendo en marcha y que puede verse afectado por cualquier incidencia que pueda producirse y mermar la confianza en el mismo.