¡Pide presupuesto en 2 min! ✓
Empresa

Evaluación de Impacto en la Protección de Datos

7 Mins read

Hoy tratamos en profundidad uno de los asuntos más importantes que incorpora el RGPD: la evaluación de Impacto en Protección de Datos. ¿En qué consiste? ¿Qué empresas están obligadas a realizarla? ¿Cómo se debe hacer? En este artículo te damos todas las respuestas.

¿Qué es una Evaluación de Impacto en la Protección de Datos (EIPD)?

Una evaluación de impacto de protección de datos es, principalmente, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan y, como resultado de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

evaluacion impacto rgpd

¿Cuándo debe realizarse la Evaluación de Impacto de Protección de Datos?

No siempre es necesaria la redacción de una Evaluación de Impacto, aunque es recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los posibles riesgos que puede entrañar el mismo.

No obstante, la nueva regulación europea señala que es obligatoria cuando en los siguientes casos:

  • Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas. Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
  • Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado. Por ejemplo, es el caso de la elaboración de perfiles.
  • Tratamiento a gran escala de datos especialmente protegidos: Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores.
  • Uso de tecnologías invasivas: Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.
    • Videovigilancia a gran escala
    • Aeronaves no tripuladas (drones)
    • Vigilancia electrónica
    • Minería de datos
    • Biometría
    • Técnicas genéticas
    • Geolocalización

E-book

Guía LOPDGDD

ebook guia lopdgdd

Ejemplo de EIPD obligatoria

Imaginemos una empresa que realiza un tratamiento de datos personales a gran escala y que además se trata de información sensible, como por ejemplo a información relativa a la salud. Sería el ejemplo de farmacias o de hospitales y clínicas. También en el caso de los centros educativos, que tratan datos de menores de edad a gran escala. En este caso, estaría obligado a realizar una evaluación de impacto relativa a la protección de datos.

Ejemplo de EIPD no obligatoria

Ahora pensemos en una pequeña tienda que tan solo realiza un tratamiento de datos básico sobre sus clientes a nivel local. No trata datos especialmente protegidos de forma masiva, ni almacena información sensible, ni usa tecnologías invasivas a gran escala. En este caso la evaluación de impacto no sería obligatoria, aunque sigue siendo recomendable si quiere garantizar un cumplimiento perfecto del RGPD o, por ejemplo, si va a empezar a vender productos online a clientes de otros países.

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Está tu empresa obligada a realizar una Evaluación de Impacto? Evita sanciones gracias a Atico34

¿No te queda claro si debes realizar una evaluación de impacto en la protección de datos personales? ¿No sabes cómo llevarla a cabo? No te preocupes.

En Grupo Atico34 contamos con más de 12 años de experiencia haciendo que empresas de todos los tamaños y sectores cumplan con la ley de protección de datos.

Nuestro equipo de expertos se encargará de analizar tu negocio y de determinar los riesgos derivados del tratamiento de datos personales.

No solo te decimos si es necesario que lleves acabo la evaluación de impacto, sino que nos encargamos de todo el proceso para que no tengas que preocuparte de nada.

Ponte en contacto con nosotros y descubre cómo podemos ayudarte.

tarifas proteccion datos

¿Qué debe incluir una evaluación de impacto en la protección de datos personales?

El resultado final de una evaluación de impacto no deja de ser un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las decisiones tomadas para mitigar sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

El artículo 35.7 del RGPD concreta cuál debe ser el contenido mínimo de la evaluación o, si se prefiere, determina qué cuestiones se tienen que analizar, como mínimo, para considerar que se ha hecho la evaluación de manera adecuada.

Fases que se deben seguir para realizar una EIPD (guía 2021)

En esta pequeña guía de evaluación de impacto en la protección de datos te mostramos cuáles son las fases por las que debe pasar este proceso y cómo se han de llevar a cabo.

Te recordamos que con Atico34 puedes dejar todos estos procedimientos en nuestras manos, pero aún así siempre conviene estar informado.

fases evaluacion impacto eipd

Descripción del tratamiento e identificar la necesidad de una EIPD

Se deberá llevar a cabo un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Análisis del proyecto y flujos de información

Las autoridades de protección de datos a menudo señalan que para comprobar si una operación de tratamiento supone una medida restrictiva de un derecho fundamental, esta operación tiene que superar los tres puntos del llamado juicio de proporcionalidad:

  • Juicio de idoneidad: Que la medida pueda conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
  • Juicio de proporcionalidad en sentido estricto: Si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

Por lo tanto, la proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios. Un ejemplo de la Evaluación de Impacto de la Protección de Datos: usando otros datos (o menos datos), reduciendo el colectivo de personas afectadas (cuantitativamente o cualitativamente hablando), usando otras tecnologías menos invasivas o aplicando otros procedimientos o medios de tratamiento modificando los inicialmente previstos, etc.

Identificación y evaluación de los riesgos

Se tiene que llevar a cabo un análisis de riesgos RGPD para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Medidas previstas para llevar a cabo el cumplimiento normativo

Una vez analizado los riesgos se deben establecer medidas para afrontarlos.

Es decir se deben establecer garantías en función de los mismos mediante las cuales se garantice la protección de los datos personales, así como también que todos los procedimientos cumplen escrupulosamente con la normativa (RGPD), siempre sin perder de vista los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Informe final

Una vez que se hayan identificado todos los riesgos derivados del tratamiento y se hayan estudiado las medidas idóneas, se realizará un informe final en el que se detallará la hoja de ruta a seguir. Este informe será la base para el cumplimiento de la normativa de protección de datos, y contendrá todos los riesgos y las medidas para evitar que pongan en peligro los derechos o libertades de clientes, empleados, proveedores, socios, etc.

Revisión

Este informe final puede estar sujeto a posibles revisiones, para detectar fallos o aspectos a mejorar. Además, estas revisiones se han de realizar de forma periódica, para adaptar las líneas de actuación a posibles cambios en la normativa o en el propio desarrollo de las actividades de la empresa.

El papel del Delegado de Protección de Datos con respecto a las EIPD

En primer lugar, hay que decir que el RGPD determina que cuando el responsable de protección de datos debe llevar a cabo una EIPD tiene que buscar el asesoramiento del Delegado de Protección de Datos.

Este apoyo lo podemos entender tanto como una intervención activa en el diseño y ejecución de la evaluación, con funciones de coordinación o de interlocución principal con los evaluadores, o bien de colaboración con el evaluador, si resulta que no tiene que asumir un papel principal en la EIPD.

En este último caso queda como persona de contacto relevante dentro de la organización y tiene que atender las consultas y dar el apoyo que el responsable del tratamiento determine en cada caso

Conclusiones

Esperamos haberte solucionado tus dudas sobre las Evaluaciones de Impacto y, si no es así, siempre puedes consultar tus dudas con nuestro departamento jurídico.

Para más información, te dejo un enlace a la Guía Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario, elaborada por INCIBE.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Si quieres asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
EmpresaTeletrabajo

Smart Working o cómo cambiar el teletrabajo en tu empresa

8 Mins read
A estas alturas, todos estamos familiarizados en mayor o menor medida con el teletrabajo, en España incluso se creó la Ley del…
DocumentosEmpresa

El contrato de exclusividad entre empresas

4 Mins read
En general, cualquier empresa necesita contratar determinados servicios con otras empresas para poder operar o llevar a cabo determinadas tareas y gestiones….
CiberseguridadEmpresa

Hacking ético: Concepto y marco legal

5 Mins read
Normalmente cuando se habla de hackers o piratas informáticos uno piensa de manera casi automática en cibercriminales cuyo objetivo es penetrar en…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.