En la entrada del hoy te platicaré sobre el concepto “tratamiento intensivo de datos personales” al que refiere la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) en su artículo 75 y el artículo 8 de las Disposiciones Administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.
Características
La ley y las disposiciones administrativas consideran que se realiza un tratamiento intensivo o relevante de datos personales cuando se presenta cualquiera de los siguientes supuestos:
- Existan riesgos inherentes a los datos personales a tratar.
- Se traten datos personales sensibles.
- Se efectúen o pretendan efectuar transferencias de datos personales.
Adicionalmente, el artículo 9 de las Disposiciones administrativas presenta un listados de casos en los que un responsable está en presencia de un tratamiento intensivo o relevante de datos personales.
Obligaciones
Cuando un responsable decida poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales deberá realizar una evaluación de impacto en la protección de datos personales.
De forma adicional el artículo 85 de la LGPDPPSO considera que los responsables que realicen tratamiento intensivo de datos personales en el ejercicio de sus funciones pueden designar a un oficial de protección datos personales especializado en la materia, quién formará parte de la Unidad de Transparencia.
Otros instrumentos
El concepto de tratamiento intensivo también esta presente en otros instrumentos tal es el caso de:
El Reglamento General de Protección de Datos que en sus artículos 35 y 36 refieren a la obligación de realizar una evaluación de impacto cuando se realice tratamiento que por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades las personas físicas.
Por otro lado los Estándares de la Red Iberoamericana de Protección de Datos en el numeral 41.1 relacionado con la evaluación de impacto a la protección de datos personales refiere a un tipo de tratamiento que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares por lo cual será necesario analizar y evaluar el tratamiento a través de una evaluación de impacto a la protección de datos personales.
A continuación, te comparto una infografía que resume la información presentada.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.