Minimiza todos los riesgos potenciales
¿Qué es una Evaluación de Impacto?
Una Evaluación de Impacto en Protección de Datos (por sus siglas, EIPD) es una herramienta de carácter preventivo basada en el análisis y revisión de todos los potenciales riesgos que pueden ocurrir en el ámbito del tratamiento de datos personales dentro de una empresa u organización. Dicho análisis permitirá identificar los escenarios en los que pudiera ocurrir una brecha o problema de seguridad sobre los datos personales, así como tomar las medidas técnicas y organizativas opotunas para reducir o eliminar los riesgos detectados.
¿Está obligado mi negocio a realizar una EIPD?
Una Evaluación de Impacto en Protección de Datos no siempre será obligatoria, ya que dependerá de los datos que se tratarán, del volúmen de los mismos, así como de las tecnologías que intervienen a la hora de realizar dicho tratamiento. Si en base a tu Análisis de Riesgos se llega a la conclusión de que tu actividad no requiere una EIPD, sigue siendo recomendable realizarlo para detectar posibles riesgos, además de que puede servir como elemento atenuante en caso de que sufras una inspección por parte de la Agencia Española de Protección de Datos.
¿Cuándo es obligatorio realizar una EIPD?
Según el artículo 35.3 del RGPD, la Evaluación de Impacto en Protección de Datos, será obligatoria cuando:
- Se realice evaluación sistemática y exhaustiva de aspectos personales en un tratamiento automatizado, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos
- Cuando se realice tratamiento a gran escala de categorías especiales de datos
- Cuando se realice tratamiento a gran escala de datos relativos a condenas e infracciones penales
- Siempre que se produzca observación sistemática a gran escala de una zona de acceso público
La AEPD ha publicado un informe orientativo en el que se facilitan algunos escenarios que estarían obligados a realizar una Evaluación de Impacto, siempre que se cumplan al menos un par de los puntos listados a continuación, aunque ocasionalmente podría ser obligatorio cumpliendo solo uno de los siguientes puntos:
- Tratamientos que impliquen perfilado o valoración de sujetos, que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
- Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
- Tratamientos que impliquen el uso de categorías especiales de datos, así como datos de condenas, de infracciones penales, datos que permitan determinar la situación financiera o de solvencia patrimonial, así como datos que permitan deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
- Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
- Tratamientos que impliquen el uso de datos a gran escala.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
La tranquilidad de saber que estás en buenas manos
¿Qué incluye una Evaluación de Impacto?
Fase 1: Análisis de Riesgos
En la primera fase, se ha de realizar un Análisis de Riesgos para detectar todos los activos y sus posibles vulnerabilidades, cuyos puntos clave serían:
- Análisis de los tratamientos de datos personales
- Determinación de los flujos de tratamiento y su legitimación
- Detección de amenazas y vulnerabilidades que afecten a los tratamientos
- Determinación del volúmen y diversidad de datos personales que serán tratados
- Definición de naturaleza, alcance, contexto y finalidades del tratamiento
Fase 2: Evaluación de Impacto
A la hora de realizar la Evaluación de Impacto en la Protección de Datos, se ha de averiguar con más detalle todas las operaciones de tratamiento de datos personales y sus circunstancias, lo cual obliga a desarrollar un conocimiento profundo y preciso de los mismos. Los puntos a destacar en esta fase son:
- Auditoría avanzada de todas las etapas de cada flujo de tratamiento de datos
- Definición de las capas que interviene en cada etapa y flujo de tratamiento
- Clasificación de las categorías y clases de datos personales
- Asociación de los procesos/flujos con cada una de las categorías y capas
- Identificación de todos los recursos intervinientes en los flujos del tratamiento
- Desglose de la tecnologías utilizadas en cada capa de cada flujo de tratamiento
- Representación gráfica de las operaciones del tratamiento
- Evaluación de la necesidad, proporcionalidad y legimitación del tratamiento
- Gestión de riesgos: Identificación, análisis y valoración
- Medidas para afrontar riesgos:Minimización de brechas o vulnerabilidades
- Si procede, consulta a la autoridad de control para confirmar posibles dudas
Fase 3: Informe y conclusiones
Este informe final sienta las bases para implcantar todas las medidas técnicas y organizativas necesarias para una correcta aplicación y cumplimiento normativo, así como para minimizar los riesgos asociados al tratamiento de datos personales que se va a realizar. Entre otros puntos, se incluye:
- Determinación del riesgo residual tras la aplicación de medidas sugeridas
- Resultados de valoración de riesgos, incluyendo probabilidad y gravedad
- Desglose de flujos o tratamientos que puedan implicar un alto riesgo
- Informe completo con todos los aspectos analizados
- Informe público que demuestra la realización del EIPD y el cumplimiento normativo
- Fecha recomendada de la realización del siguiente EIPD