4 ítems por los que se debe realizar una Evaluación de Impacto en la Protección de Datos

Un aspecto destacado que introduce el nuevo RGPD es la obligación de realizar una evaluación de impacto, siempre que el tratamiento implique un riesgo elevado para garantizar los derechos y las libertades de las personas físicas.

Definición

Una PIA (Privacy Impact Assessments) o Evaluación de Impacto en la Protección de Datos Personales (EIPD), es, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

La principal ventaja de una EIPD es que en sus etapas iniciales permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori.

Otra definición es: “Metodología para evaluar el impacto en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de Datos Personales y tras haber consultado con todas las partes implicada, tomar las medidas necesarias para evitar o minimizarlos impactos negativos. Una EIPD en la privacidad es un proceso que debería comenzar en las etapas más iniciales que sea posible, cuando todavía hay oportunidades de influir en el resultado del proyecto.”

¿Cuándo hay que hacer una EIPD?

El responsable del tratamiento debe realizar una Evaluación de Impacto antes de comenzar con el tratamiento, siempre que se den las siguientes circunstancias:

  1. Cuando se utilicen nuevas tecnologías y el tratamiento entrañe un riesgo alto por su naturaleza, alcance, contexto o fines.
  2. Que se realice una evaluación sistemática y exhaustiva sobre cuestiones personales relativas a personas físicas basadas en un tratamiento automatizado, como puede ser la elaboración de per les, que puedan provocar efectos jurídicos para los individuos o que les afecten significativamente de algún modo parecido.
  3. Ejecución de un tratamiento a gran escala de las categorías especiales de datos o se traten datos relativos a condenas e infracciones penales.
  4. El tratamiento se base en la observación sistemática a gran escala de una zona de acceso público.

Cuando se produzca un cambio en el riesgo de las operaciones de tratamiento será necesario que el responsable del tratamiento examine si se está actuando de acuerdo a la evaluación de impacto relativa a la protección de datos.

Contenido mínimo de una EIPD

Una evaluación de impacto debe tener como mínimo, según el artículo 35.7 del RGPD, el siguiente contenido:

  1. Una descripción sistemática de las operaciones de tratamiento y de los fines del tratamiento, así como del interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de los riesgos para los derechos y libertades de los interesados.
  3. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

La Agencia Española de Protección de Datos ha publicado una guía sobre la evaluación de impacto donde se establecen las pautas necesarias para poder realizarla. Puedes acceder a ella a través del siguiente enlace:

Guía para una Evaluación de Impacto en la Protección de Datos Personales

Cuando exista la obligación de tener un delegado de protección de datos (DPD), este tendrá como función asesorar al responsable del tratamiento sobre la realización de la evaluación de impacto relativa a la protección de datos. En concreto, el DPD deberá prestar asesoramiento sobre los siguientes aspectos:

  1. Si es necesario hacer una EIPD
  2. En el caso de realizar la EIPD, qué metodología se va a utilizar para ello
  3. La EIPD se realizará contratando a alguien para que la lleve a cabo o lo hará algún miembro de la organización.
  4. Analizar si la EIPD se ha realizado correctamente o no y si las conclusiones a las que se ha llegado son acordes a lo establecido en el RGPD.

Las 8 fases principales de una Evaluación de Impacto en la Protección de Datos (EIPD)

  1. ANÁLISIS DE NECESIDAD

Valoración de la conveniencia de llevar a cabo o no una EIPD

  1. DESCRIPCIÓN DEL PROYECTO Y DE LOS FLUJOS DE INFORMACIÓN

Análisis en profundidad del proyecto obteniendo, el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

  1. IDENTIFICACION DE LOS RIESGOS

Análisis de los posibles riesgos para la Protección de Datos de los afectados y valoración de la probabilidad de que sucedan y del daño que causarían si se materializarán.

  1. GESTION DE LOS RIESGOS IDENTIFICADOS

Determinación de los controles y las medidas que han de adoptarse para eliminar, mitigar, transferir o aceptar los riesgos detectados.

  1. ANALISIS DE CUMPLIMIENTO NORMATIVO

Verificación de que el producto o servicio que se está desarrollando cumple con los requerimientos legales, generales o sectoriales, en materia de Protección de Datos.

  1. INFORME FINAL

Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos. Su destinatario principal es la dirección de la organización.

  1. IMPLANTACION DE LAS RECOMENDACIONES

Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.

  1. REVISION Y REALIMENTACION

Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la EIPD y actualizarla cuando se necesario.

 

Desde el despacho de MedinAbello&Asociados, podemos ayudarle !

By |2018-07-23T13:50:42+00:00junio 28th, 2018|DPD/DPO, PROTECCIÓN DE DATOS|0 Comments