¿Qué es una evaluación de impacto de la protección de datos?
Una evaluación de impacto sobre la protección de datos o EIPD proporciona una forma metódica y exhaustiva de analizar el tratamiento de la información personal y ayudar a identificar y mitigar los riesgos para la protección de datos.
En virtud de la legislación europea sobre protección de datos (GDPR), las empresas están legalmente obligadas a llevar a cabo una DPIA si cualquier tipo de tratamiento puede dar lugar a un alto riesgo para el interesado, tal como se establece en el artículo 35 del GDPR.
El hecho de no llevar a cabo una EIPD en estos casos puede dejar a una empresa muy expuesta a medidas coercitivas, incluida una multa de hasta 10 millones de euros, o 2% del volumen de negocios anual global, lo que sea mayor.
Dicho esto, las EIPD no son simplemente un ejercicio de cumplimiento...
Una DPIA permite a las empresas priorizar los riesgos y tratarlos de forma proporcionada para tomar decisiones aconsejadas. También sirve para demostrar que la empresa ha implantado procedimientos y controles adecuados en materia de protección de datos, lo que ayuda a resolver los problemas en una fase temprana.
Identificar un problema en una fase temprana puede significar a menudo una solución más sencilla y menos costosa, además de evitar posibles daños a la reputación.
En general, el uso sistemático de las EIPD aumenta la concienciación sobre los problemas de privacidad y protección de datos dentro de la organización y garantiza que todo el personal relevante que participa en el diseño de los proyectos piense en la privacidad en las primeras fases y adopte un enfoque de "protección de datos desde el diseño".
~ Oficina del Comisario de Información
Cómo y cuándo utilizar una DPIA
El Grupo de Trabajo del Artículo 29 establece nueve operaciones de tratamiento "puede resultar en un alto riesgo" . Pueden servir de orientación útil para determinar cuándo las actividades de tratamiento de datos corresponden al nivel de "alto riesgo". Este es el momento en el que una empresa debe plantearse seriamente la realización de una DPIA. Debe llevarse a cabo una evaluación sistemática y exhaustiva si el contexto y los fines de una tarea empresarial cumplen alguna de las siguientes actividades de tratamiento:
-
Elaboración de perfiles, evaluación o puntuación de los sujetos de los datos (por ejemplo, con fines de predicción).
-
Toma de decisiones automatizada.
-
Control sistemático.
-
Tratamiento de datos sensibles o de carácter muy personal.
-
Procesamiento de datos a gran escala.
-
Cotejar o combinar conjuntos de datos.
-
Tratamiento de datos relativos a personas vulnerables.
-
Usos o aplicaciones innovadoras de nuevas soluciones tecnológicas u organizativas para los datos personales.
Una EIPD puede utilizarse para una operación de tratamiento individual o para un grupo de operaciones de tratamiento similares. En algunas situaciones podría ser posible basarse en una DPIA existente, siempre que cubra una operación de tratamiento similar con riesgos similares. Un grupo de responsables del tratamiento también puede realizar una DPIA conjunta para un proyecto de grupo o una iniciativa sectorial.
¿Cuáles son las ventajas de realizar EIPD?
La realización de una Evaluación de Impacto sobre la Protección de Datos (EIPD) beneficia a las organizaciones de varias maneras, entre ellas;
- Ayudar a identificar y mitigar los posibles riesgos y amenazas que puedan afectar a la privacidad y seguridad de las personas.
- Ayuda a las organizaciones a cumplir las leyes y reglamentos aplicables en materia de protección de datos, incluido el Reglamento General de Protección de Datos (RGPD).
- Permite a las organizaciones fomentar la confianza de sus clientes o partes interesadas demostrando su compromiso con privacidad y protección de datos
A través del proceso de EIPD, las organizaciones también pueden descubrir oportunidades para mejorar sus prácticas de protección de datos, responsabilidad y gobernanza. Una EIPD también proporciona a las organizaciones un enfoque estructurado para evaluar el impacto de sus actividades de tratamiento de datos.
¿Quién debe realizar una DPIA?
Decidir quién debe realizar una EADP puede resultar complicado. Por lo general, la responsabilidad de llevar a cabo la DPIA recae en el responsable del tratamiento o en la organización que procesa los datos personales. Sin embargo, algunas organizaciones pueden optar por delegar esta responsabilidad en su responsable de protección de datos o en terceros de confianza. Independientemente de quién realice la EIPD, debe tener los conocimientos y la experiencia suficientes para llevar a cabo la evaluación de forma exhaustiva. Deben tener conocimientos de los principios y leyes de protección de datos, metodologías de evaluación de riesgos, tratamiento de datos y tecnología. En última instancia, el factor más crítico a la hora de seleccionar a una persona o equipo para realizar la DPIA es su capacidad para llevar a cabo un análisis de riesgos en profundidad y proporcionar recomendaciones prácticas para identificar y minimizar los riesgos de un proyecto o proceso.
Un enfoque paso a paso
El artículo 35.7 del GDPR establece los elementos mínimos que deben evaluarse. Estos son:
-
PASO 1:
37.5 (a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo perseguido por el controlador;
Esto requiere una lista detallada del procesamiento de datos, incluyendo;
-
la base jurídica del tratamiento;
-
categorías y tipos de datos personales que se tratan;
-
datos de todos los interesados, responsables y encargados del tratamiento de datos; y
-
detalles de los flujos de datos, es decir, si los datos se transfieren o revelan a terceros.
-
PASO 2:
37.5 (b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con los fines;
Esto significa que la EIPD debe proporcionar un análisis de proporcionalidad. En términos sencillos, ¿los datos utilizados son esenciales para cumplir el objetivo previsto?
La DPIA debe explicar:
-
el objetivo del tratamiento de los datos;
-
las razones por las que se tratan los datos de una manera determinada, para cumplir el objetivo deseado; y
-
si existen o no otras formas de realizar la tarea (es necesario explicar por qué se sigue el método de tratamiento elegido).
Es importante considerar detenidamente si hay formas más sencillas (menos arriesgadas) de lograr el mismo objetivo.
-
PASO 3:
37.5 (c) una evaluación de los riesgos para los derechos y libertades de los interesados mencionados en el apartado 1; y
En general, estos riesgos se refieren a los "derechos y libertades de las personas físicas". Este apartado del artículo 37.5 hace referencia al considerando 75, que establece lo siguiente:
El riesgo para los derechos y libertades de las personas físicas, de probabilidad y gravedad variables, puede derivarse del tratamiento de datos personales que puede dar lugar a daños físicos, materiales o inmateriales, en particular cuando el tratamiento pueda dar lugar a discriminación, usurpación de identidad o fraude, pérdida financiera, daño a la reputación, pérdida de la confidencialidad de los datos personales protegidos por el secreto profesional, reversión no autorizada de la seudonimización, o cualquier otra desventaja económica o social significativa; cuando los interesados puedan verse privados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; cuando se traten datos personales que revelen el origen racial o étnico, las opiniones políticas, la religión o las convicciones filosóficas, la afiliación sindical, así como el tratamiento de datos genéticos, datos relativos a la salud o datos relativos a la vida sexual o a las condenas e infracciones penales o medidas de seguridad conexas cuando se evalúen aspectos personales, en particular el análisis o la predicción de aspectos relativos al rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la ubicación o los movimientos, con el fin de crear o utilizar perfiles personales; cuando se traten datos personales de personas físicas vulnerables, en particular de niños; o cuando el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
En realidad, hay incluso más tipos de riesgo que podríamos enumerar, entre ellos:
-
pérdida financiera;
-
robo de identidad;
-
daño a la reputación;
-
la anulación de la seudonimización;
-
violación de la confidencialidad de los datos privilegiados.
¿Confundido? No lo esté. Lo importante es recordar que este paso considera el conjunto de medidas actuales y existentes desde una perspectiva legal, técnica y organizativa.
El objetivo principal es controlar los riesgos que puedan identificarse antes del inicio del tratamiento de datos.
-
PASO 4:
37.5 (d) las medidas previstas para hacer frente a los riesgos, incluidas las salvaguardias, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados y otras personas afectadas.
La realización de una EIPD es un proceso de análisis basado en el riesgo. Es necesario identificar, evaluar y documentar todos los riesgos potenciales. Aunque algunos pueden considerar esto como un ejercicio de "búsqueda de problemas", el análisis de riesgos debe considerarse y realizarse realmente sobre la base de la probabilidad y el impacto consecuente.
La EIPD debe tener en cuenta la naturaleza, el alcance y el contexto del tratamiento de los datos personales. Deben tenerse en cuenta todas las situaciones imaginables de tratamiento relacionadas con la recogida, el almacenamiento, el uso y la eliminación de datos personales.
Una parte vital de una DPIA es el requisito de enumerar las medidas de mitigación de riesgos. Estas medidas pueden incluir un enfoque tecnológico para la reducción de riesgos, por ejemplo, para proteger los datos sensibles durante la transferencia electrónica, se puede utilizar un servicio de encriptación de extremo a extremo del correo electrónico.
Una vez identificados los riesgos para la privacidad, deben describirse las opciones de la empresa para hacer frente a cada uno de los riesgos o amenazas identificados, las estrategias de control de la privacidad apropiadas y, sólo entonces, puede evaluarse cualquier riesgo restante.
El informe completo de la DPIA (que debe revisarse periódicamente, en particular cuando un proceso está sujeto a cambios) contribuye al cumplimiento por parte de la organización del principio de responsabilidad del RGPD.
El valor de una DPIA
El valor de una DPIA
Una DPIA aporta valor a cualquier organización que deba cumplir el GDPR. Y si bien es cierto que la realización de una DPIA puede ser un ejercicio largo y laborioso, una DPIA es como obtener "luz verde" para el cumplimiento de un tratamiento de datos específico
También puede actuar como un análisis previo del procesamiento de datos de la empresa por parte de los miembros del equipo de la DPIA, al tiempo que demuestra la buena fe ante el regulador nacional, así como ante los valiosos clientes de la empresa.
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda que las empresas contraten los servicios de un profesional con experiencia en privacidad de datos y/o de un abogado de privacidad de datos cuando se preparen para cumplir con cualquier legislación de protección de datos y privacidad.
¿Necesita asesoramiento sobre la realización de una DPIA?
Si necesita asesoramiento sobre la realización de una DPIA, entonces ponte en contacto con nuestros expertos en GDPR hoy mismo.