Conoce Atico34 - Solicita presupuesto
EmpresaLOPDGDD & RGPD

Evaluación de Impacto Protección de Datos (EIPD): Qué es, cómo realizarla y ejemplos

La evaluación de impacto en protección de datos (EIPD) todavía sigue generando dudas entre responsables y encargados del tratamiento; ¿cuándo es necesario hacerla?, ¿cómo hacer una evaluación de impacto de protección de datos?, ¿quién es el responsable de hacerla?, etc. Para despejar cualquiera de estas dudas hemos elaborado esta guía en la que explicamos en detalle qué es, cuándo y cómo llevar a cabo una evaluación de impacto RGPD.

¿Qué es una evaluación de impacto de la protección de datos?

Una evaluación de impacto en la protección de datos personales es un análisis de los riegos que un determinado tratamiento de datos personales puede suponer para los derechos y libertades fundamentales de los interesados (los titulares de los datos), de cuyo resultado se obtendrá un informe que permitirá determinar qué medidas de seguridad es necesario adoptar para eliminar o minimizar los riesgos identificados y analizados.

En otras palabras, una EIPD consiste en identificar los riesgos para la protección de datos que pueden derivarse del uso de un determinado sistema de información, producto o servicio que implique el tratamiento de datos personales, para poder implementar medidas de seguridad que permitan gestionar dichos riesgos, eliminándolos o minimizando tanto la probabilidad de que se materialicen como el impacto negativo que tendrían sobre los derechos y libertades de los interesados.

Una EIPD o evaluación de impacto de protección de datos es una evaluación de impacto relacionada con la privacidad y cuyo objetivo es identificar y analizar las consecuencias que determinadas acciones o actividades pueden tener para la privacidad.

¿Cómo realizar una evaluación de impacto de protección de datos? Paso a paso

El artículo 35.7 del RGPD concreta cuál de ser el contenido mínimo de la evaluación de impacto, en concreto, cualquier EIPD debe incluir:

  • Una descripción sistemática de las actividades de tratamiento previstas y sus fines, incluido, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las actividades de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismo que garanticen la protección de datos personales.

En cuanto a su realización, debemos tener en cuenta que las evaluaciones de alto riesgo de protección de datos se componen de una de fases, cuyo objetivo es ofrecer una visión detallada de los riesgos para la seguridad de los datos personales que puedan derivarse de una actividad de tratamiento concreta.

Así mismo, también hay que tener en cuenta que implica la consideración de los siguientes factores:

  • La definición de quién realizará la EIPD.
  • Las tareas que se van a realizar y cómo se van a llevar a cabo.
  • La documentación de todo el proceso.
  • Debe ser un proceso objetivo y sistemático, que garantice la homogeneidad, repetitividad y comparabilidad en la realización de la EIPD.

A continuación, en esta pequeña guía de evaluación de impacto en la protección de datos, mostramos y detallamos cuáles son las fases por las que debe pasar la EIPD y cómo deben llevarse a cabo.

Te recordamos que con Atico34 puedes dejar todos estos procedimientos en nuestras manos, pero, aun así, siempre conviene estar informado.

Fases EIPD

Fases que se deben seguir para realizar una EIPD

Establecer la necesidad de una EIPD

Se debe establecer la necesidad de realizar una EIPD, para ello se describirá el tratamiento en detalle y se valorará si cumple con los supuestos contemplados en el RGPD y por la AEPD para llevar a cabo una evaluación de impacto. En caso de que la empresa o entidad cuente con un delegado de protección de datos, se debe considerar su opinión respecto a la necesidad de hacer la EIPD.

Definir los flujos de información

Se deberá llevar a cabo un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Así mismo, es recomendable realizar un juicio de proporcionalidad para comprobar si la operación de tratamiento supone una medida restrictiva de un derecho fundamental:

  • Juicio de idoneidad: Que la medida pueda conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
  • Juicio de proporcionalidad en sentido estricto: Si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios.

Identificar los problemas de cumplimiento y evaluar los riesgos

Se debe realizar un análisis de riesgos RGPD que permita identificar los riesgos que pueden derivarse del tratamiento de datos y valorar la probabilidad y el impacto de materialización, para determinar el nivel de los riesgos y si estos son tolerables, se pueden minimizar o eliminar o son inaceptables.

Cabe señalar que los riegos pueden ser dos tipos:

  • Riesgos que afectan a las personas cuyos datos son tratados y que se pueden concretar en:
    • Vulneraciones de sus derechos y libertades
    • Pérdida de información necesaria
    • Daño causado por la utilización ilícita o fraudulenta de los datos
  • Riesgos que pueden afectar a la empresa u organización por no haber implementado una política de protección de datos adecuada y suficiente.

Describir las acciones previstas para llevar a cabo el cumplimiento normativo

Una vez analizado los riesgos se deben establecer medidas para afrontarlos.

Es decir, se deben establecer garantías en función de los mismos mediante las cuales se garantice la protección de los datos personales, así como también que todos los procedimientos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Estas medidas deben tener como fin eliminar, mitigar o transferir los riesgos detectados. Generalmente, las evaluaciones de impacto también incluyen la aceptación de los riesgos detectados, pero en protección de datos y respecto a cómo pueden verse impactados los derechos y libertades de las personas, la aceptación podría suponer un incumplimiento de la normativa, por lo que las medidas siempre deben encaminarse a evitar o eliminar esos riesgos.

Así mismo, se describirán las acciones previstas para mitigar los riesgos detectados (esta información, de manera sintetizada, es la que se consignará en el apartado de medidas de seguridad del registro de actividades de tratamiento).

Documentar y registrar un Informe final

Una vez que se hayan identificado todos los riesgos derivados del tratamiento y se hayan estudiado las medidas idóneas, se realizará un informe final en el que se detallará la hoja de ruta a seguir. Este informe será la base para el cumplimiento de la normativa de protección de datos, y contendrá todos los riesgos y las medidas para evitar que pongan en peligro los derechos o libertades de clientes, empleados, proveedores, socios, etc.

Modelo de informe EIPD

La AEPD, para ayudar en el cumplimiento de la protección de datos en la empresa, publicó un modelo de Evaluación de Impacto en la Protección de Datos. La estructura de este modelo de informe final de una EIPD se divide en los siguientes puntos:

  • Resumen ejecutivo
  • Descripción del tratamiento
  • Licitud del tratamiento
  • Metodología de la EIPD
  • Análisis del tratamiento
  • Análisis de la obligación de realizar una EIPD
  • Análisis de la necesidad del tratamiento
  • Medidas para la reducción del riesgo
  • Análisis de balance entre riesgo-beneficio
  • Plan de acción
  • Conclusiones y recomendaciones

A continuación os dejamos el citado modelo de informe de evaluación de impacto de la AEPD, que podéis utilizar para realizar las EIPD de los tratamientos que lo requieran (si bien recomendamos dejar en manos de expertos en la materia realizar las evaluaciones de impacto en protección de datos, puesto que suponen una labor compleja).

Revisión

El informe final de la evaluación de alto riesgo en protección de datos puede estar sujeto a posibles revisiones, para detectar fallos o aspectos a mejorar. Además, estas revisiones se han de realizar de forma periódica, para adaptar las líneas de actuación a posibles cambios en la normativa o en el propio desarrollo de las actividades de la empresa.

tarifas proteccion datos

Ejemplo de evaluación de impacto de datos personales

De modo orientativo, vamos a ver un ejemplo de evaluación de impacto en protección de datos.

Supongamos que una empresa quiere implementar un control de acceso a las instalaciones mediante huella dactilar, es decir, utilizando datos biométricos para la identificación de personas.

El primer paso es identificar los datos personales que se van a recopilar:

  • Plantilla de la huella dactilar – dato de categoría especial
  • Nombre y apellidos
  • Cargo/Puesto en la empresa

El siguiente paso es realizar el análisis de riesgos:

  • Acceso no autorizado a la base de datos en la que se almacenan las plantillas de las huellas dactilares
  • Filtración de la base de datos
  • Suplantación de identidad
  • Determinar la probabilidad de materialización de estos riesgos y su impacto para los empleados

A continuación se evaluarán cuáles son las medidas que se pueden adoptar para mitigar los riesgos detectados:

  • Cifrado de la base de datos
  • Limitación de acceso autorizado a la base de datos

Aplicadas las medidas, se vuelven a evaluar los riesgos para determinar la eficacia de las medidas y si estas serán suficientes.

Finalmente, se emite el informe de la evaluación de impacto realizada.

Evidentemente, este ejemplo de EIPD es muy básico, pero sirve para que os hagáis una idea de cómo funciona de manera algo esquemática este tipo de análisis de riesgos (que en realidad lleva un trabajo más profundo y detallado, que requiere de tener experiencia y conocimientos en protección de datos).

¿Cuándo es necesario realizar la evaluación de impacto de la protección de datos?

Evaluación de Impacto rgpd: casos y empresas obligadas

Evaluación de Impacto RGPD: casos y empresas obligadas

La evaluación de impacto de protección de datos hay que hacerla cuando el tratamiento de datos personales entrañe un alto riesgo para los derechos y libertades de los interesados, es decir, cuando realizar el tratamiento de datos puede tener consecuencias significativas en la vida de las personas (por ejemplo, conservar historias clínicas en la base de datos de un hospital puede suponer un riesgo de filtración de las mismas, si no se han tomado las medidas de seguridad oportunas, y esa filtración tener consecuencias para las personas cuyos datos de salud lleguen a revelarse).

Según el RGPD, corresponde a responsables y encargados del tratamiento valorar y determinar si es necesario hacer una evaluación de impacto en un tratamiento de datos concreto.

Más allá de esa valoración, el RGPD recoge también los supuestos específicos en los que es obligatorio realizar una EIPD.

En concreto, el artículo 35.3 del RGPD establece cuándo son obligatorios estos análisis de niveles de impacto en protección de datos:

  • Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas. Por ejemplo, en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
  • Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado. Por ejemplo, es el caso de la elaboración de perfiles.
  • Tratamiento a gran escala de datos especialmente protegidos: Si se efectúa un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores (aquí puedes ver diferentes ejemplos de datos personales).
  • Uso de tecnologías invasivas: Se van a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.
    • Videovigilancia a gran escala
    • Aeronaves no tripuladas (drones)
    • Vigilancia electrónica
    • Minería de datos
    • Biometría
    • Técnicas genéticas
    • Geolocalización

Como parte de sus funciones, la AEPD también publicó una lista de tratamientos donde la evaluación de impacto es obligatoria (teniendo en cuenta que dicha lista es orientativa y susceptible de ampliación):

  • Tratamientos que supongan la elaboración de perfiles y valoraciones de personas, incluida la recopilación de datos que se refieran a hábitos o aspectos de la personalidad de la persona.
  • Tratamientos que conlleven la toma de decisiones automatizadas, incluida la elaboración de perfiles.
  • Monitoreo, observación, supervisión o geolocalización de personas o se lleve a cabo cualquier tipo de control de forma sistemática.
  • Cuando se tratan datos especialmente protegidos, datos referidos a infracciones penales o datos de solvencia patrimonial o referidos a la situación financiera de las personas.
  • Uso de datos biométricos para la identificación unívoca de las personas.
  • Tratamientos de datos a gran escala.
  • Cuando se combinen o asocien registros de bases de datos de dos o más tratamientos por diferentes responsables y con fines diferentes.
  • Si se tratan datos de colectivos vulnerables o en riesgo de exclusión social, incluidos los datos de menores de 14 años, discapacitados, víctimas de violencia de género, personas que accedan a servicios sociales y sus descendientes o personas que estén bajo custodia.
  • Cuando se empleen nuevas tecnologías o tecnologías existentes, pero de manera innovadora, y la recopilación y tratamiento de esos datos suponga un riesgo para los derechos y libertades de los afectados.

Como podemos ver, la obligación de realizar una evaluación de impacto no depende del tipo de empresa o su actividad, sino de determinados tratamientos de datos y los riesgos que pueden entrañar para los derechos y libertades de los interesados. Así, algunas empresas o entidades que deberían realizar, a modo de ejemplos, análisis de evaluación de impacto serían:

tarifas proteccion datos

¿Quién debe realizar la Evaluación de Impacto de la Protección de Datos?

La EIPD RGPD debe realizarla el responsable del tratamiento, asesorado por el Delegado de Protección de Datos (DPO), cuando la empresa tenga designado uno, pudiendo contar con el apoyo del encargado de tratamiento (si lo hubiese) y otro personal de los departamentos de tecnología o jurídico, por ejemplo, un abogado experto en protección de datos, o de otros departamentos que puedan estar implicados en el tratamiento.

Aunque el responsable del tratamiento es quien tiene la obligación de hacer la EIPD, la normativa permite que esta pueda llevarse a cabo por un servicio externo especializado en protección de datos, dada la complejidad que puede llegar a suponer su realización.

Respecto al papel del Delegado de Protección de Datos con respecto a las EIPD: En primer lugar, hay que decir que el RGPD determina que cuando el responsable de protección de datos debe llevar a cabo una EIPD tiene que buscar el asesoramiento del Delegado de Protección de Datos.

Este apoyo lo podemos entender tanto como una intervención activa en el diseño y ejecución de la evaluación, con funciones de coordinación o de interlocución principal con los evaluadores, o bien de colaboración con el evaluador, si resulta que no tiene que asumir un papel principal en la EIPD.

En este último caso queda como persona de contacto relevante dentro de la organización y tiene que atender las consultas y dar el apoyo que el responsable del tratamiento determine en cada caso.

Sanciones por no realizar la EIPD cuando hay obligación de hacerla

No realizar la EIPD cuando hay obligación de hacerlo está calificado como infracción grave en el artículo 73 de la LOPDGDD, por lo que las sanciones que se pueden imponer van de los 40.001 euros a los 300.000 euros.

¿Necesita tu empresa realizar una EIPD? Grupo Atico34 puede ayudarte

¿No te queda claro si debes realizar una evaluación de impacto en la protección de datos personales? ¿No sabes cómo llevarla a cabo? No te preocupes, puedes recurrir a los servicios de una consultoría de protección de datos, como Grupo Atico34, y contratar protección de datos con nosotros; tenemos más de 12 años de experiencia haciendo que empresas de todos los tamaños y sectores cumplan con la ley de protección de datos.

Nuestro equipo de expertos se encargará de analizar tu negocio y de determinar los riesgos derivados del tratamiento de datos personales.

No solo te decimos si es necesario que lleves a cabo la evaluación de impacto, sino que nos encargamos de todo el proceso para que no tengas que preocuparte de nada.

Ponte en contacto con nosotros y descubre cómo podemos ayudarte.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.