EVALUACIÓN DE IMPACTO

La auditoría en la protección de datos

REALIZAMOS LA EVALUACIÓN DE IMPACTO DE TU EMPRESA

 El nuevo Reglamento General de Protección de Datos establece que las empresas deben tener un sistema dinámico de análisis de los tratamientos y que se deben elaborar informes llamados Evaluación de Impacto de Protección de Datos  (PIA en inglés / EIPD en castellano) sobre todo cuando dichos tratamientos puedan entrañar riesgos específicos para los derechos y libertades de los interesados.   

¿Qué es una evaluación de impacto?

Vamos a empezar por el principio, ¿qué es una evaluación de impacto?

Una evaluación de impacto o EIPD es un proceso dinámico y continuo que vigila los tratamientos que se realizan dentro de la organización. Se debe realizar para anticipar y prevenir el impacto que pueda tener un tratamiento de datos determinado. Además se evalúa la necesidad de dicho tratamiento, la proporcionalidad y gestionando los riesgos potenciales para las libertades y los derechos a los que estarán expuestos los datos personales en función de el tipo de tratamiento que se vaya a realizar. En el caso de que existan riesgos durante el tratamiento, se deberán reducir hasta niveles aceptables.

Hay que entender que una el hecho de minimizar los riesgos y de demostrar que se están poniendo todos los medios posibles para detectarlos y reducirlos entra dentro de la responsabilidad proactiva exigida por el Reglamento General de Protección de Datos.

¿Cuándo es obligatorio realizar una Evaluación de Impacto?

Hay tres supuestos en los que una Evaluación de Impacto es imprescindible:

  • Cuando se evalúan aspectos personales de forma exhaustiva y continuada a lo largo del tiempo, incluyendo la elaboración de perfiles.
  • Al tratar datos personales de categoría especial a gran escala.
  • Cuando se esté observando de forma continua y a gran escala una zona pública.

Medidas propuestas por el GT-29

Estas medidas fueron matizadas por el Grupo de Trabajo del artículo 29 (GT-29), para que fuesen mejor comprendidas y nosotros podamos dilucidar cuándo es necesaria realizar una Evaluación de Impacto. A continuación relatamos dichas conclusiones:

  1. Tratamiento de datos personales a gran escala.
  2. Toma de decisiones automatizadas que puedan tener efectos jurídicos o similares para la persona.
  3. Observación sistemática de individuos.
  4. Tratamientos de datos de categoría especial: raza, sexo, religión, ideas políticas, sindicación, de salud.
  5. Realización de perfiles o de puntuaciones de individuos.
  6. Si el tratamiento puede impedir que un interesado ejerza uno de sus derechos, o utilizar un servicio o ejecutar un contrato.
  7. Los datos corresponden a personas vulnerables como menores, personas de la tercera edad, personas discapacitadas, personas empleadas.
  8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.

Obligación de realizar una EIPD según la AEPD

La AEPD establece  un listado con los casos en los que una empresa está obligada a realizar una evaluación de impacto:

  • Los tratamientos que incluyan evaluaciones de los comportamientos de los individuos y elaboraciones de perfiles.
  • Aquellos tratamientos que conlleven la toma de decisiones automatizadas.
  • Cuando se monitorice, observe, supervise o geolocalice a una persona o  se realice cualquier tipo de control de forma sistemática.
  • Si se tratan datos de categoría especial, datos referidos a infracciones o condenas penales o datos de solvencia patrimonial o referidos a la solvencia patrimonial de una persona.
  • Utilización de datos biométricos para identificar de manera unívoca a una persona.
  • Uso de datos a gran escala.
  • Combinación o asociación  de los registros de dos o más bases de datos que incluyan dos o más tratamientos y que vayan a ser tratados por diferentes responsables y con fines distintos.
  • Si se van a tratar datos de colectivos vulnerables o en riesgo de exclusión social como menores, discapacitados,víctimas de violencia de género…
  • Cuando el tratamiento de datos vaya a realizarse con nuevas tecnologías o tecnologías existentes que recopilen y traten esos de datos de forma que se limiten los derechos de los interesados.

¿Qué empresas están oligadas a realizar una evaluación de impacto?

Algunas empresas que están obligadas a realizar una evaluación de impacto son:

  • Farmaceúticas.
  • Centros educativos.
  • Empresas de seguridad, videovigilancia y control.
  • Hospitales, centros sanitarios y clínicas.
  • Organizaciones de telecomunicaciones.
  • Comercializadoras de energía.
  • Empresas que manejen datos de carácter personal a gran escala con o sin perfilado.
  • evaluacion_de_impacto

Fases de la Evaluación de Impacto

La evaluación de impacto consta de varias etapas que a continuación vamos a explicar.

Fase 1. Evaluación de la necesidad.

Se realiza una argumentación fundada para decidir si se realiza o no.  En muchas ocasiones se opta por realizar una EIPD pero menos formal y de esta manera se identifican los riesgos y se minimizan de forma más sencilla.

Fase 2. Descripción del proyecto y de los flujos de información.

Se trata de realizar una relación pormenorizada del cliclo de vida de los datos que se tratan en la organización. Se suelen realizar unas preguntas tipo para que sean contestadas y de esta manera ayuden al análisis. Estas preguntas pueden ser: ¿cuál es la tipología de los datos? ¿quiénes los usan? ¿cómo son los flujos de información?  ¿qué tecnologías se utilizan? ¿los datos, se comunican a terceros? ¿hay necesidad de utilizar todos los datos? ¿qué necesidad tienen los participantes de la información, de acceder a ella, o de tratar ciertos  tipos de datos?

Fase 3. Identificación de los riesgos que ponen en riesgo la privacidad.

En esta etapa se valoran los principales riesgos a los que que están expuestos los datos de los afectados y se realiza  una valoración de la probabilidad y del impacto de su materialización.

Fase 4. Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad.

Identificación de las medidas necesarias para evitar, eliminar, transferir, mitigar o aceptar los riesgos que suponen los tratamientos. Todos aquellos riesgos que supongan ir en contra a la normativa, deberán ser evitados o eliminados.

Fase 5. Análisis de cumplimiento normativo.

Se analizan qué normas se deben cumplir además de la normativa en protección de datos. Puede haber empresas que debido a su actividad necesiten cumplir otras normativas como por ejemplo las empresas sanitarias, de telecomunicaciones, etc.

Fase 6. Informe final.

Se realiza una lista detallada de los riesgos que se han encontrado y de las recomendaciones que se han realizado para mitigarlos o eliminarlos. El informe debe explicarse de forma sencilla, sin demasiados tecnicismos.

Fase 7. Implantación de las recomendaciones.

Se debe tener en cuenta las decisiones tomadas en el informe final y se debe proponer un plan a ser posible con un calendario para la implementación de todas las medidas.

Fase 8. Revisión y retroalimentación.

En esta última etapa se debe verficar que el plan de implantación se estaá llevando a cabo y que las necesidades de la empresa no varían. En caso de que se vayan a realizar nuevos tratamientos que conlleven riesgos, se debería actualizar la EIPD.

En Seginet nos proponemos hacerte la vida más fácil, por eso si necesitas realizar una evaluación de impacto o tienes dudas, ya que no sabes con certeza si la necesitas, ponte en contacto con nosotros en el 944 582 336 o en el 643 909 930 o por email en hola@seginet.com, somos profesionales con amplia experiencia en protección de datos.

Al

Póngase en contacto con nosotros

Estaremos encantados de atenderle
Abrir chat