Conoce Atico34 - Solicita presupuesto
EmpresaLOPDGDD & RGPD

Evaluación de Impacto en la Protección de Datos (EIPD)

La evaluación de impacto en protección de datos (EIPD) todavía sigue generando dudas entre responsables y encargados del tratamiento; ¿en qué consisten y qué miden las evaluaciones de impacto exactamente?, ¿cuándo es necesario hacerlas?, ¿cuándo son obligatorias?, ¿cómo se deben llevar a cabo?, etc. Para despejar cualquiera de estas dudas, hemos elaborado este artículo en el que explicamos con detalle qué es la EIPD, cuándo y cómo realizarla.

¿Qué es una Evaluación de Impacto en la Protección de Datos (EIPD)?

Una evaluación de impacto en protección de datos es un análisis de los riegos que un determinado tratamiento de datos personales puede suponer para los derechos y libertades fundamentales de los interesados (los titulares de los datos), de cuyo resultado se obtendrá un informe que permitirá determinar qué medidas de seguridad es necesario adoptar para eliminar o minimizar los riesgos identificados y analizados.

En otras palabras, una evaluación de impacto RGPD consiste en identificar los riesgos para la protección de datos que pueden derivarse del uso de un determinado sistema de información, producto o servicio que implique el tratamiento de datos personales, para poder implementar medidas de seguridad que permitan gestionar dichos riesgos, eliminándolos o minimizando tanto la probabilidad de que se materialicen como el impacto negativo que tendrían sobre los derechos y libertades de los interesados.

Una EIPD o evaluación de impacto de protección de datos es una evaluación de impacto relacionada con la privacidad y cuyo objetivo es identificar y analizar las consecuencias que determinadas acciones o actividades pueden tener para la privacidad.

¿Qué miden las evaluaciones de impacto?

Las evaluaciones de impacto de protección de datos miden el nivel de riesgo que un determinado tratamiento de datos personales puede suponer para los derechos y libertades de las personas.

Ese nivel de riesgo se determina, primero identificando las amenazas y riesgos que pueden derivarse de un tratamiento de datos para los datos personales y sus titulares, y, segundo, determinando la probabilidad de materialización de cada riesgo y el impacto negativo (las consecuencias) que tendría de materializarse finalmente.

Cómo decíamos, la EIPD en protección de datos ayuda al responsable del tratamiento y, en su caso, al encargado, a diseñar y adoptar las medidas de seguridad necesarias para atenuar dichos riesgos hasta un nivel tolerable (o eliminarlos si es posible). Aunque, como veremos más adelante, la realización de la evaluación de impacto no siempre es obligatoria.

¿Cuándo hay que hacer una evaluación de impacto?

Evaluación de Impacto rgpd: casos y empresas obligadas

Evaluación de Impacto RGPD: casos y empresas obligadas

La evaluación de impacto hay que hacerla cuando el tratamiento de datos personales entrañe un alto riesgo para los derechos y libertades de los interesados, es decir, cuando realizar el tratamiento de datos puede tener consecuencias significativas en la vida de las personas (por ejemplo, conservar historias clínicas en la base de datos de un hospital puede suponer un riesgo de filtración de las mismas, si no se han tomado las medidas de seguridad oportunas, y esa filtración tener consecuencias para las personas cuyos datos de salud lleguen a revelarse).

Según el RGPD, corresponde a responsables y encargados del tratamiento valorar y determinar si es necesario hacer una evaluación de impacto en un tratamiento de datos concreto.

Más allá de esa valoración, el RGPD recoge también los supuestos específicos en los que es obligatorio realizar una EIPD.

¿Cuándo es obligatoria una evaluación de impacto de protección de datos?

El artículo 35.3 recoge las situaciones en las que hay que hacer EIPD obligatorias:

  • Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas. Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
  • Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado. Por ejemplo, es el caso de la elaboración de perfiles.
  • Tratamiento a gran escala de datos especialmente protegidos: Si se efectúa un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores.
  • Uso de tecnologías invasivas: Se van a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.
    • Videovigilancia a gran escala
    • Aeronaves no tripuladas (drones)
    • Vigilancia electrónica
    • Minería de datos
    • Biometría
    • Técnicas genéticas
    • Geolocalización

Como parte de sus funciones, la AEPD también publicó una lista de tratamientos donde la evaluación de impacto es obligatoria (teniendo en cuenta que dicha lista es orientativa y susceptible de ampliación):

  • Tratamientos que supongan la elaboración de perfiles y valoraciones de personas, incluida la recopilación de datos que se refieran a hábitos o aspectos de la personalidad de la persona.
  • Tratamientos que conlleven la toma de decisiones automatizadas, incluida la elaboración de perfiles.
  • Monitoreo, observación, supervisión o geolocalización de personas o se lleve a cabo cualquier tipo de control de forma sistemática.
  • Cuando se tratan datos especialmente protegidos, datos referidos a infracciones penales o datos de solvencia patrimonial o referidos a la situación financiera de las personas.
  • Uso de datos biométricos para la identificación unívoca de las personas.
  • Tratamientos de datos a gran escala.
  • Cuando se combinen o asocien registros de bases de datos de dos o más tratamientos por diferentes responsables y con fines diferentes.
  • Si se tratan datos de colectivos vulnerables o en riesgo de exclusión social, incluidos los datos de menores de 14 años, discapacitados, víctimas de violencia de género, personas que accedan a servicios sociales y sus descendientes o personas que estén bajo custodia.
  • Cuando se empleen nuevas tecnologías o tecnologías existentes, pero de manera innovadora, y la recopilación y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.

Como podemos ver, la obligación de realizar una evaluación de impacto no depende del tipo de empresa o su actividad, sino de determinados tratamientos de datos y los riesgos que pueden entrañar para los derechos y libertades de los interesados. Así, algunas empresas o entidades que deberían realizar, a modo de ejemplos, análisis de evaluación de impacto serían:

tarifas proteccion datos

¿Qué debe incluir una evaluación de impacto?

El resultado final de una evaluación de impacto de protección de datos no deja de ser un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar que se ha hecho la evaluación de manera adecuada.

En concreto, cualquier modelo de evaluación de impacto en protección de datos debe incluir:

  • Una descripción sistemática de las actividades de tratamiento previstas y sus fines, incluido, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las actividades de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismo que garanticen la protección de datos personales.

¿Cómo se hace una evaluación de impacto? Fases

Lo primero que debemos tener en cuenta es que una EIPD se compone de una serie de fases con el objetivo de ofrecer una visión detallada de los riesgos para la seguridad de los datos personales que puedan derivarse de una actividad de tratamiento concreta.

Lo segundo es que implica la consideración de los siguientes factores:

  • La definición de quién realizará la EIPD
  • Las tareas que se van a realizar y cómo se van a llevar a cabo
  • La documentación de todo el proceso

Debe ser un proceso objetivo y sistemático, que garantice la homogeneidad, repetitividad y comparabilidad en la realización de la EIPD

A continuación, en esta pequeña guía de evaluación de impacto en la protección de datos, mostramos y detallamos cuáles son las fases por las que debe pasar la EIPD y cómo deben llevarse a cabo.

Te recordamos que con Atico34 puedes dejar todos estos procedimientos en nuestras manos, pero, aun así, siempre conviene estar informado.

Fases EIPD

Fases que se deben seguir para realizar una EIPD

Descripción del tratamiento e identificar la necesidad de una EIPD

Se deberá llevar a cabo un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Análisis del proyecto y flujos de información

Las autoridades de protección de datos a menudo señalan que para comprobar si una operación de tratamiento supone una medida restrictiva de un derecho fundamental, esta operación tiene que superar los tres puntos del llamado juicio de proporcionalidad:

  • Juicio de idoneidad: Que la medida pueda conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
  • Juicio de proporcionalidad en sentido estricto: Si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios.

Identificación y evaluación de los riesgos

Se debe realizar un análisis de riesgos RGPD que permita identificar los riesgos que pueden derivarse del tratamiento de datos y valorar la probabilidad y el impacto de materialización, para determinar el nivel de los riesgos y si estos son tolerables, se pueden minimizar o eliminar o son inaceptables.

Cabe señalar que los riegos pueden ser dos tipos:

  • Riesgos que afectan a las personas cuyos datos son tratados y que se pueden concretar en:
    • Vulneraciones de sus derechos y libertades
    • Pérdida de información necesaria
    • Daño causado por la utilización ilícita o fraudulenta de los datos
  • Riesgos que pueden afectar a la empresa u organización por no haber implementado una política de protección de datos adecuada y suficiente.

Medidas previstas para llevar a cabo el cumplimiento normativo

Una vez analizado los riesgos se deben establecer medidas para afrontarlos.

Es decir, se deben establecer garantías en función de los mismos mediante las cuales se garantice la protección de los datos personales, así como también que todos los procedimientos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Estas medidas deben tener como fin eliminar, mitigar o transferir los riesgos detectados. Generalmente, las evaluaciones de impacto también incluyen la aceptación de los riesgos detectados, pero en protección de datos y respecto a cómo pueden verse impactados los derechos y libertades de las personas, la aceptación podría suponer un incumplimiento de la normativa, por lo que las medidas siempre deben encaminarse a evitar o eliminar esos riesgos.

Informe final: Modelo de informe final de una EIPD

Una vez que se hayan identificado todos los riesgos derivados del tratamiento y se hayan estudiado las medidas idóneas, se realizará un informe final en el que se detallará la hoja de ruta a seguir. Este informe será la base para el cumplimiento de la normativa de protección de datos, y contendrá todos los riesgos y las medidas para evitar que pongan en peligro los derechos o libertades de clientes, empleados, proveedores, socios, etc.

La AEPD, para ayudar en el cumplimiento de la protección de datos en la empresa, publicó un modelo de Evaluación de Impacto en la Protección de Datos. La estructura de este modelo de informe final de una EIPD se divide en los siguientes puntos:

  • Resumen ejecutivo
  • Descripción del tratamiento
  • Licitud del tratamiento
  • Metodología de la EIPD
  • Análisis del tratamiento
  • Análisis de la obligación de realizar una EIPD
  • Análisis de la necesidad del tratamiento
  • Medidas para la reducción del riesgo
  • Análisis de balance entre riesgo-beneficio
  • Plan de acción
  • Conclusiones y recomendaciones

Revisión

El informe final de la evaluación de impacto RGPD puede estar sujeto a posibles revisiones, para detectar fallos o aspectos a mejorar. Además, estas revisiones se han de realizar de forma periódica, para adaptar las líneas de actuación a posibles cambios en la normativa o en el propio desarrollo de las actividades de la empresa.

Ejemplo de evaluación de impacto

De modo orientativo, vamos a ver un ejemplo de evaluación de impacto en protección de datos.

Supongamos que una empresa quiere implementar un control de acceso a las instalaciones mediante huella dactilar, es decir, utilizando datos biométricos para la identificación de personas.

El primer paso es identificar los datos personales que se van a recopilar:

  • Plantilla de la huella dactilar – dato de categoría especial
  • Nombre y apellidos
  • Cargo/Puesto en la empresa

El siguiente paso es realizar el análisis de riesgos:

  • Acceso no autorizado a la base de datos en la que se almacenan las plantillas de las huellas dactilares
  • Filtración de la base de datos
  • Suplantación de identidad
  • Determinar la probabilidad de materialización de estos riesgos y su impacto para los empleados

A continuación se evaluarán cuáles son las medidas que se pueden adoptar para mitigar los riesgos detectados:

  • Cifrado de la base de datos
  • Limitación de acceso autorizado a la base de datos

Aplicadas las medidas, se vuelven a evaluar los riesgos para determinar la eficacia de las medidas y si estas serán suficientes.

Finalmente, se emite el informe de la evaluación de impacto realizada.

Modelo

Lo visto en el punto anterior es un ejemplo de EIPD muy básico para que os hagáis una idea de cómo funciona este tipo de análisis de riesgos, por lo que a continuación os dejamos el modelo de informe de evaluación de impacto publicado por la AEPD, que podéis utilizar para realizar las EIPD de los tratamientos que lo requieran (si bien recomendamos dejar en manos de expertos en la materia realizar las evaluaciones de impacto en protección de datos, puesto que suponen una labor compleja).

tarifas proteccion datos autonomos

¿Quién es el responsable de realizar una evaluación de impacto?

La EIPD RGPD debe realizarla el responsable del tratamiento, asesorado por el Delegado de Protección de Datos (DPO), cuando la empresa tenga designado uno, pudiendo contar con el apoyo del encargado de tratamiento (si lo hubiese) y otro personal de los departamentos de tecnología o jurídico, por ejemplo, un abogado experto en protección de datos, o de otros departamentos que puedan estar implicados en el tratamiento.

Aunque el responsable del tratamiento es quien tiene la obligación de hacer la EIPD, la normativa permite que esta pueda llevarse a cabo por un servicio externo especializado en protección de datos, dada la complejidad que puede llegar a suponer su realización.

Respecto al papel del Delegado de Protección de Datos con respecto a las EIPD: En primer lugar, hay que decir que el RGPD determina que cuando el responsable de protección de datos debe llevar a cabo una EIPD tiene que buscar el asesoramiento del Delegado de Protección de Datos.

Este apoyo lo podemos entender tanto como una intervención activa en el diseño y ejecución de la evaluación, con funciones de coordinación o de interlocución principal con los evaluadores, o bien de colaboración con el evaluador, si resulta que no tiene que asumir un papel principal en la EIPD.

En este último caso queda como persona de contacto relevante dentro de la organización y tiene que atender las consultas y dar el apoyo que el responsable del tratamiento determine en cada caso.

Sanciones por no realizar la EIPD cuando hay obligación de hacerla

No realizar la EIPD cuando hay obligación de hacerlo está calificado como infracción grave en el artículo 73 de la LOPDGDD, por lo que las sanciones que se pueden imponer van de los 40.001 euros a los 300.000 euros.

¿Necesita tu empresa realizar una EIPD? Grupo Atico34 puede ayudarte

¿No te queda claro si debes realizar una evaluación de impacto en la protección de datos personales? ¿No sabes cómo llevarla a cabo? No te preocupes, puedes recurrir a los servicios de una consultoría de protección de datos, como Grupo Atico34, y contratar protección de datos con nosotros; tenemos más de 12 años de experiencia haciendo que empresas de todos los tamaños y sectores cumplan con la ley de protección de datos.

Nuestro equipo de expertos se encargará de analizar tu negocio y de determinar los riesgos derivados del tratamiento de datos personales.

No solo te decimos si es necesario que lleves a cabo la evaluación de impacto, sino que nos encargamos de todo el proceso para que no tengas que preocuparte de nada.

Ponte en contacto con nosotros y descubre cómo podemos ayudarte.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.