Si imaginábamos que la protección de datos personales se centraría nada más en avisos de privacidad, ejercicios de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) documentos de seguridad o verificaciones, estaríamos en un grave error, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), prevé otra figura poco explorada y/o empleada por los responsables (sujetos obligados) llamada Evaluación de Impacto (EDI), la cual tiene su sustento en los artículos 75, 77, 78 y 79 de la LGPDPPSO.
La EDI es definida por las “Disposiciones Administrativas de Carácter General para la Elaboración, Presentación y Valoración de Evaluaciones de Impacto en la Protección de Datos Personales” (Disposiciones Administrativas) como el documento mediante el cual el responsable valora los impactos reales respecto de un tratamiento intensivo o relevante de datos personales, con la finalidad de identificar y mitigar posibles riesgos relacionados con los principios, deberes, derechos y demás obligaciones consagrados en la LGPDPPSO.
De acuerdo con las Disposiciones Administrativas, están obligados a la elaboración de la EDI, los responsables que pretendan poner en operación o modificar una política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que, a su juicio, implique un tratamiento intensivo o relevante de datos personales, el cual deberá ser presentada ante el organismo garante.
Sin embargo, es importante que los responsables sepan cuando se está en presencia de un tratamiento intensivo o relevante de datos personales, para ello las Disposiciones Administrativas, plantean tres condiciones a saber, la primera, ante la existencia de riesgos inherentes a los datos personales; la segunda, cuando se traten datos personales sensibles, es decir, aquellos definidos por el artículo 3º, fracción X de la LGPDPPSO, y la tercera, si pretenden efectuar transferencias de datos personales, entendidas éstas, como la comunicación que se realice de los datos personales, dentro o fuera del territorio nacional, ya sea a persona distinta del titular, responsable o encargado.
Ahora bien, una vez que sea conocido por los responsables el tratamiento intensivo o relevante, es necesario que desahoguen el procedimiento de valoración de la EDI regulado en el Capítulo IV de las Disposiciones Administrativas, el cual dará inicio con la presentación, ante el organismo garante, del documento que contendrá la evaluación, siempre y cuando este sea presentado por lo menos treinta días antes a la fecha en que el responsable pretenda poner en marcha la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique el tratamiento intensivo o relevante.
Por su parte, el organismo garante como receptor de la evaluación de impacto, deberá decidir si admite o requiere mayor información, pues de ser éste último supuesto, el responsable está obligado a enlistar la totalidad de la información descrita por el artículo 15 de las Disposiciones Administrativas, entre la que destaca las medidas de seguridad de carácter administrativo, físico y técnico -documento de seguridad- de cumplir con la información requerida, se dará inicio a la etapa de valoración, que no es otra cosa, más que la realización de diligencias y/o reuniones entre el organismo garante y el responsable.
En este tipo de reuniones, se levantará un acta, en la que se hará constar: el lugar, fecha y hora de la realización de la diligencia y/o reunión de trabajo; la denominación del responsable; los nombres completos y cargos de los servidores públicos y/o integrantes de los responsables y de las personas que intervinieron; el nombre de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología, objeto de la evaluación de impacto en la protección de datos personales, así como las finalidades que motivan el tratamiento de los datos personales; la narración circunstanciada de los hechos ocurridos durante la diligencia o reunión de trabajo, incluyendo los acuerdos alcanzados, y el nombre completo y firma del servidor público que represente al responsable, al Instituto o los organismos garantes, así como el nombre de cualquier otro asistente.
Desahogada la etapa de valoración, se procederá a la emisión del dictamen correspondiente por parte del organismo garante, en el cual de manera fundada y motivada, se pronunciara sobre la EDI presentada por el responsable, donde señalará sí se cumple o no con lo dispuesto en el la LGPDPPSO, en el caso de que si se cumpliera, no se emitiría recomendación alguna, en caso contrario, será necesario que el organismos garante emita las recomendaciones (no vinculantes) que estime necesarias.
Destaca también, que el dictamen emitido por los organismos garantes no sólo constituye una mera recomendación, ya que puede estar encaminado a orientar al responsable para el fortalecimiento y mejor cumplimiento de las obligaciones previstas en la LGPDPPSO o las legislaciones estatales en la materia y demás disposiciones aplicables, señalando medidas, acciones y sugerencias específicas en función de las características generales y particularidades de la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales.
Cabe concluir, que en la práctica no es muy común ver este tipo de evaluaciones de impacto, aunque sería inconcuso pensar que en la actualidad los sujetos obligados no están innovando en el uso de aplicaciones y/o sistemas electrónicos que recaben datos personales de carácter sensible, verbigracia, el Instituto de Transparencia, Información Pública y Protección de Datos Personales del Estado de Jalisco, en su sesión ordinaria del catorce de octubre de dos mil diecinueve, aprobó el dictamen de Evaluación de Impacto solicitado por el Instituto Jalisciense de Ciencias Forenses, respecto del micrositio denominado “REGISTRO PFSI” (Personas fallecidas sin identificar) el cual puede ser consultado en la siguiente dirección electrónica: http://cienciasforenses.jalisco.gob.mx/registro_pfsi.php, cuya finalidad es lograr una mayor identificación, de las personas fallecidas sin identificar que se encuentran bajo el resguardo de ese Instituto, por parte de sus familiares.
