¿Cómo debe realizar el DPO una Evaluación de Impacto?
¿Manejas datos que, según la nueva normativa, te exigen nombrar un DPO?
Entonces también estás obligado a realizar una Evaluación de impacto en Protección de Datos (EIPD).
Y debe realizarla el DPO.
¿No sabes qué es eso?
En este post te doy las claves para realizar una Evaluación de Impacto.
- ¿Qué es una Evaluación de Impacto en Protección de Datos?
- ¿Cuándo hay que realizar una EIPD?
- ¿Quién debe realizar la EIPD?
- ¿Qué debe incluir la EIPD?
- Fases
- Necesidad de la EIPD
- Descripción del proyecto y los flujos de información
- Reconocimiento de los riesgos sobre la privacidad
- Gestión de los riesgos y Establecimiento de soluciones para garantizar la privacidad
- Análisis de cumplimiento normativo
- Informe final
- Implantación de las recomendaciones
- Revisión y retroalimentación
- Fases
- Sanciones
- Conclusión
¿Qué es una Evaluación de Impacto en Protección de Datos?
Los avances en la tecnología y la evolución en la manera de tratar los datos personales originan nuevos riesgos que es necesario controlar.
Así, el RGPD exige a los responsables del tratamiento la aplicación de medidas de control adecuadas para demostrar que garantizan los derechos y libertades de las personas y la seguridad de los datos.
Según la Agencia Española de Protección de Datos, la EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos que pueden afectar a sus actividades de tratamiento de datos para garantizar los derechos y libertades de las personas físicas.
Aquí surge el novedoso principio de responsabilidad activa o Accountability. Esto supone que en el momento de diseñar un nuevo proyecto en el que van a tratarse datos personales, deben identificarse, evaluarse y tratarse los riesgos asociados a ese tratamiento de datos.
Gestión de riesgos
La gestión de riesgos se divide en tres etapas:
- La identificación de las amenazas (factores de riesgo concurrentes que, en caso de materializarse, puede provocar daños a los derechos de los interesados) y de los riesgos (la combinación de la posibilidad de que se materialicen las amenazas previamente identificadas y sus consecuencias negativas).
- La evaluación de los riesgos (consiste en valorar el impacto (significativo o no) de la exposición a la amenaza, entendido como los posibles daños que se pueden producir si la amenaza se materializa, junto a la probabilidad de que esta se materialice).
- El tratamiento de los riesgos detectados.
El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.
Si no se toman a tiempo medidas adecuadas frente a los riesgos detectados, ello puede entrañar la existencia de daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como:
- limitación de sus derechos o pérdida de control sobre sus datos personales,
- discriminación,
- usurpación de identidad,
- pérdidas financieras,
- reversión no autorizada de la seudonimización,
- daño para la reputación,
- inexistencia de confidencialidad sobre datos sujetos al secreto profesional, o
- cualquier otro daño social o económico importante para la persona física en cuestión.
A su vez, la concurrencia efectiva de tales daños, al margen de la posible imposición de sanciones por posible vulneración del RGPD, también podría determinar la existencia de un derecho de indemnización del usuario en el sentido del artículo 82 del RGPD.
Medidas de control
Entre otras medidas para atender a los riesgos concurrentes, pueden destacarse las siguientes:
- Reducir al máximo el tratamiento de datos personales (principio de minimización de datos)
- Seudonimizar lo antes posible los datos personales
- Cifrar los datos personales cuando ello resultará pertinente
- Contar con protocolos internos de desarrollo y contratación externa de servicios y productos destinados al tratamiento de datos personales, a fin de que éstos sean coherentes con los principios de privacidad desde el diseño y por defecto.
¿Cuándo hay que realizar una EIPD?
Hay que realizarla siempre, antes de iniciar el tratamiento, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. En concreto si usa nuevas tecnologías, por su alcance, naturaleza, fines o contexto.
En particular, sería obligatorio en caso de realizar:
- Una valoración regular y absoluta de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de manera similar.
- Una gestión de tipos de datos especiales a gran escala o de los datos personales relativos a condenas e infracciones penales.
- Una vigilancia regular a gran escala de una zona de acceso público.
La autoridad de control (AEPD) debe publicar un listado de los tratamiento que necesitan una Evaluación de Impacto.
La existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo y, en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una EIPD, aun cuando el tratamiento en cuestión no esté incluido en esas listas.
De momento, la AEPD no ha publicado aún ningún listado.
¿Quién debe realizar la EIPD?
El responsable del tratamiento es quien realizará la EIPD, con asesoramiento del Delegado de Protección de Datos (DPD), si hubiera sido nombrado, o del encargado del tratamiento, según lo dispuesto en contrato de encargo del tratamiento, en su caso.
Asimismo, podrían concurrir otras tantas personas o figuras, con diferentes roles y responsabilidades, que pueden participar en la realización de una EIPD.
La participación del DPD en la elaboración debe entenderse como una función de apoyo y asesoramiento, atendiendo las consultas que surjan y monitorizando todo el proceso.
Asimismo, si procede, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de la seguridad de los tratamientos o de intereses comerciales o públicos.
¿Cómo debe realizarse la EIPD?
Sin perjuicio de la metodología que mejor se ajuste al fin pretendido y a la estructura de los destinatarios del Protocolo, resulta altamente recomendable seguir las indicaciones de la AEPD y del Comité Europeo de Protección de datos en este ámbito.
¿Qué debe incluir la EIPD?
La evaluación debe incluir las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el Reglamento.
El contenido de la evaluación deberá incluir como mínimo:
- Una exposición ordenada de las actividades de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento. Puedes consultar el Anexo I de la Guía AEPD para la realización de EIPD, que contiene una plantilla de análisis de documentación del ciclo de vida de los datos asociados a las actividades de tratamiento.
- Una valoración de la exigencia y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. Anexo II de la Guía AEPD para realizar EIPD .
- Una apreciación de los peligros para los derechos y libertades de los interesados.
- Las medidas contempladas para hacer frente a los riesgos y amenazas.
- Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Fases
En el desarrollo de un PIA intervienen diferentes fases:
Necesidad de la EIPD
En esta fase se realiza una valoración de la conveniencia de llevar a cabo o no una Evaluación de Impacto.
Descripción del proyecto y los flujos de información
En esta fase se realiza un análisis en profundidad del proyecto, obteniendo el detalle de:
- categorías de datos que se tratan,
- usuarios de los mismos,
- flujos de información y
- tecnologías utilizadas.
Reconocimiento de los riesgos sobre la privacidad
Estudio de los probables riesgos para la protección de datos de los afectados. Y valoración de la posibilidad de que ocurran y el impacto que ocasionarían.
Gestión de los riesgos y Establecimiento de soluciones para garantizar la privacidad
Identificación de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.
Análisis de cumplimiento normativo
Se implementarán las soluciones para garantizar la privacidad (controles periódicos).
Informe final
Se enumerarán de forma precisa de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.
Implantación de las recomendaciones
Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.
Revisión y retroalimentación
Debe analizarse el resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos.
Estos resultados se utilizan para realimentar la evaluación de impacto y acualizarla cuando sea necesario.
Sanciones
No realizar la evaluación de impacto relativa a la protección de datos cuando sea obligatoria para el responsable del tratamiento en atención a los datos personales tratados o no hacerlo de manera correcta, podría suponer la comisión de una infracción (art. 83.4.a del RGPD).
Esta podría ser sancionada, cuando se trate de empresas, con multa administrativa de diez millones de euros (10.000.000 €) o una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Optándose por la de mayor cuantía.
En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción. Salvo en el caso de los tribunales en el ejercicio de su función judicial.
Conclusión
En resumen, recuerda que:
- La EIPD tiene por objeto evaluar la necesidad y proporcionalidad del tratamiento de los datos personales. La finalidad es poder gestionar los riesgos que entrañe para los derechos y libertades de las personas físicas.
- La obligación de realizar una evaluación de impacto corresponde al responsable del tratamiento.
- El responsable deberá contar con el asesoramiento del DPD, en su caso.
- El DPD tendrá que colaborar con el responsable del tratamiento facilitándole la información disponible para el cumplimiento de esta obligación.
- El responsable del tratamiento puede basarse en alguno de los ejemplos de metodologías publicadas por las autoridades de protección de datos. O utilizar su propia metodología.
Consulta la Guía de la AEPD y pregúntame cualquier duda. Así conseguirás que tu negocio sea más seguro.