¡Pide presupuesto en 2 min! ✓
Empresa

Evaluaciones de Impacto en la Protección de Datos

6 Mins read

Hoy tratamos en profundidad uno de los asuntos más importantes que incorpora el RGPD: las Evaluaciones de Impacto en la Protección de Datos.

Pero, antes de comenzar, ¡no te asustes! Aquí te explicamos todo lo que necesitas conocer sobre las las Evaluaciones de Impacto.

¿Qué es una Evaluación de Impacto en la Protección de Datos?

Es, principalmente, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan y, como resultado de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

evaluacion de impacto RGPD

RGPD

Una de las principales novedades que incorpora el nuevo Reglamento General de Protección de Datos, concretamente en el artículo 35, es la obligación de realizar una EIPD de aquellos tratamientos que puedan comportar un riesgo significativo (alto) para los derechos y las libertades de las personas físicas.

El artículo mencionado utiliza la expresión “en particular”, con lo que se deduce que no estamos ante una lista exhaustiva; por lo tanto, hay otros tipos de tratamientos que no encajan en estos supuestos y que también pueden presentar riesgos igualmente elevados y, en consecuencia, habría que hacer la EIPD.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad. Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también as diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad). De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves (el nivel de riesgo se valora en la siguiente etapa de evaluación de los riesgos).

Finalidad de una EIPD

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

Destacar, en este sentido, que las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) del análisis de la evaluación de impacto.

¿Cuándo debe realizarse la Evaluación de Impacto de Protección de Datos?

No siempre es necesaria la redacción de una Evaluación de Impacto, aunque es recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los posibles riesgos que puede entrañar el mismo.

No obstante, la nueva regulación europea tasa que es obligatoria cuando se dé:

  • Alto riesgo
  • Evaluación sistemática
  • Tratamiento a gran escala de datos especialmente protegidos
  • Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluímos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

  • Videovigilancia a gran escala
  • Aeronaves no tripuladas (drones)
  • Vigilancia electrónica
  • Minería de datos
  • Biometría
  • Técnicas genéticas
  • Geolocalización

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

  • Farmacéuticas
  • Hospitales y clínicas
  • Seguridad privada, vigilancia y control
  • Comercializadoras de energía
  • Empresas que realicen e-commerce
  • Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD

Contenido

El resultado final de una evaluación de impacto no deja de ser un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar que se ha hecho la evaluación de manera adecuada.

Este cuestiones que obligatoriamente se tienen que analizar son las siguientes:

Descripción del tratamiento y finalidades

Se deberá llevar a cabo un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Evaluación de la proporcionalidad y necesidad del tratamiento

Las autoridades de protección de datos a menudo señalan que para comprobar si una operación de tratamiento supone una medida restrictiva de un derecho fundamental, esta operación tiene que superar los tres puntos del llamado juicio de proporcionalidad:

Juicio de idoneidad

Que la medida pueda conseguir el objetivo propuesto.

Juicio de necesidad

Si, además, es necesaria, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.

Juicio de proporcionalidad en sentido estricto

Si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios. Un ejemplo de la Evaluación de Impacto de la Protección de Datos: usando otros datos (o menos datos), reduciendo el colectivo de personas afectadas (cuantitativamente o cualitativamente hablando), usando otras tecnologías menos invasivas o aplicando otros procedimientos o medios de tratamiento modificando los inicialmente previstos, etc.

evaluacion de impacto proteccion de datos ejemplo

Evaluación de los riesgos

Se tiene que llevar a cabo un análisis de los posibles riesgos para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Medidas previstas

Una vez analizado los riesgos se deben establecer medidas para afrontarlos.

Es decir se deben establecer garantías en función de los mismos mediante las cuales se garantice la protección de los datos personales,así como también que todos los procediminentos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Este apoyo lo podemos entender tanto como una intervención activa en el diseño y ejecución de la evaluación, con funciones de coordinación o de interlocución principal con los evaluadores, o bien de colaboración con el evaluador, si resulta que no tiene que asumir un papel principal en la EIPD.

En este último caso queda como persona de contacto relevante dentro de la organización y tiene que atender las consultas y dar el apoyo que el responsable del tratamiento determine en cada caso

Guía AEPD

La AEPD ha publicado en su web una guía para una Evaluación de Impacto en la Protección de Datos Personales. Se trata de un documento de gran ayuda para desarrollar una EIPD.

Sin embargo, nuestra recomendación es que, para la redacción de un documento tan importante y especifico se cuente con asesoramiento de expertos.

Conclusiones

Esperamos haberte solucionado tus dudas sobre las Evaluaciones de Impacto y, si no es así, siempre puedes consultar tus dudas con nuestro departamento jurídico.

Para más información, te dejo un enlace a la Guía Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario, elaborada por INCIBE.

Tarifas para la contratación de una EIPD

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
EmpresaLOPDGDD & RGPD

Tras la anulación del acuerdo Privacy Shield, los profesionales de la privacidad serán claves

3 Mins read
El TJUE ha anulado finalmente el acuerdo Privacy Shield; las empresas ya no podrán transferir datos personales de usuarios europeos a servidores…
EmpresaIgualdad

Informe de impacto de género: claves para elaborarlo

15 Mins read
Las políticas, así como otras intervenciones y la forma en que son diseñadas e implementadas por las organizaciones y a través de…
EmpresaIgualdad

Explicación de la brecha de género en el ámbito laboral

12 Mins read
A pesar del progreso lento pero constante realizado hacia la igualdad de género en la última década, aún no ha sido un…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.