Evaluación de impacto en la protección de datos personales

Cuando una empresa está funcionando con procesos sin adecuar a la normativa de protección de datos es recomendable realizar una Evaluación de Impacto, también llamada PIA (Data Protection Impact Assesment) la cual llega a suponer un proceso por el cual se evalúa el tratamiento de datos personales que usa una empresa y permite identificar las medidas de seguridad que sería necesarias para poder eliminar los potenciales riesgos.

 

Qué son las evaluaciones de impacto en la protección de datos (PIA)

Una PIA supone un procedimiento destinado a garantizar la correcta adaptación de las empresas a la normativa de protección de datos. Podríamos resumirlo en un informe que refleja el estado de una empresa en materia de protección datos.

A través del Reglamento General de Protección de Datos (RGPD), en su artículo 35, se introduce el concepto de Evaluación de Impacto.

Una PIA va unida al principio de protección de los datos por defecto y desde el diseño, suponiendo ello proceso preventivo que permite evaluar la proporcionalidad y necesidad de gestionar riesgos potenciales para los derechos de los usuarios respecto de sus datos, concretando las medidas que mejor se adapten al riesgo.

El hecho de realizar una PIA se debe entender como una obligación dentro de la responsabilidad proactiva, demostrando que la capacidad de garantizar los requisitos de la normativa.

El incumplimiento en la realización de una PIA podría derivar en sanciones, en concreto se consideran sanciones graves (multa de 10 millones de euros o 2% facturación anual:

Debido a la importancia que supone la realización de la PIA, la Agencia Española de Protección de Datos (AEPD) ha facilitado una guía para orientar y ofrecer directrices en la metodología que implica realizar una PIA

 

¿Qué empresa esta obligada a realizar una Evaluación de impacto?

La realización de una PIA no es obligatoria para todas las empresas, sí es cierto que si se tratan datos es recomendable realizarla. Será obligatoria si el tratamiento supone un alto riesgo para los derechos y libertades de los usuarios.

En concreto, los supuestos obligatorios para la realización de una PIA:

  • tratamientos de datos especialmente protegidos de forma sistemática o masiva
  • tratamientos de datos de menores de edad
  • predecir aspectos personales o elaborar perfiles
  • utilización de tecnologías invasivas para la privacidad
  • cesión de datos a terceros
  • transferencia de datos a países fuera del Espacio Económico Europeo
  • utilización de datos personales no disociados o no anonimizados de forma irreversible para fines estadísticos, históricos o de investigación científica;
  • riesgos específicos que puedan comprometer la confidencialidad, la integridad o la disponibilidad de los datos personales.

 

Fases para realizar una EIPD / PIA

A la hora de conocer el proceso de realización de la PIA, la La AEPD ha elaborado en la guía unas pautas que nos ayudarán a conocer las fases que componen una Evaluación de Impacto.

  1. Detectar la necesidad de realizar una PIA

Al no ser un proceso obligatorio para todas las empresas, el primer paso sería comprobar los requisitos de obligatoriedad pese a ser recomendable su realización, con ello ayudaríamos a la empresa a no solo evitar sanciones sino también mejorar la imagen.

  • Analizar los flujos de información

El siguiente paso sería analizar los procesos de la empresa que tratan datos, revisando las categorías, personal implicado, proveedores o tecnologías que acceden a ellos.

  • Identificación riesgos

Una vez recogida toda la información relacionada con el tratamiento de datos se deberán identificar los riesgos potenciales con los que cada dato podría conllevar y con ello tener en cuenta la probabilidad de amenaza. A la hora de analizar los riesgos hay que tener en cuenta que podría ser de dos tipos:

  1. Riesgos para las personas y su privacidad.
  2. Riesgos para la empresa y su reputación.
  • Gestión de riesgos

Detectados los riesgos para cada tipo de dato, toca identificar las medidas de seguridad más recomendables a aplicar. Este proceso es importante llevarlo de la mano con los departamentos que traten los datos en la empresa (por ejemplo, departamento de sistemas o marketing)

  • Realización de informe.

Se realizará un informe final que incluya el análisis de las fases anteriores en donde se explicará de forma clara el estado actual de la empresa, las medidas actuales, sus riesgos y los cambios/decisiones a introducir para cumplir con la normativa de protección de datos. Con ello, los responsables deberán implementar las medidas recomendadas y determinar los recursos a utilizar.

Por lo anterior, una vez implementado las medidas expuestas en el informe, se analizarán y comprobarán su eficacia, siendo revisadas de forma periódica.

En Type of Legal asesoramos a las empresas en el cumplimiento de la normativa de protección de datos y la realización de Evaluaciones de impacto.

Leave A Comment