¿Qué es la Evaluación de Impacto en Protección de Datos?
El 25 de mayo de 2018 entró en vigor el conocido como RGPD (Reglamento General de Protección de Datos), sustituyendo a la antigua LOPD. De acuerdo con dicho Reglamento, una de las obligaciones que deben llevar a cabo todos los responsables del tratamiento de datos personales es evaluar el impacto de todas las actividades que lleven a cabo y que impliquen un tratamiento de datos personales. Eso es lo que denominamos Evaluación de Impacto en Protección de Datos.
De acuerdo con la “Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD”:
Las EIPD (Evaluaciones de Impacto Protección de Datos) son una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. Este análisis para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Aquellas empresas que no realicen una EIPD antes del tratamiento de datos personales se exponen a una importante sanción por parte de la AEPD. Por ejemplo, si recogemos datos personales sin haber especificado las finalidades del tratamiento, nos exponemos a una sanción de hasta 40.000 €.
Puntos clave de la evaluación de impacto protección de datos
Siguiendo esta misma guía oficial que hemos mencionado, destacaría a continuación sus puntos más importantes.
En primer lugar, debemos tener en cuenta que toda Evaluación de Impacto en Protección de Datos debe disponer de una metodología que, como mínimo:
- Describa las actividades de tratamiento que se prevé realizar.
- Evalúe el tratamiento en función de su finalidad.
- Evalúe los riesgos a los que se exponen los datos de carácter personal.
- Defina medidas para afrontar los posibles riesgos que dichos datos pueden correr.
Todo ello debe ser llevado a cabo por el responsable del tratamiento, aunque puede contratar a una empresa o a un DPD (Delegado de Protección de Datos) especializado que lo realice a su nombre.
Por supuesto, la mencionada metodología tiene una profundidad mucho mayor de lo que hemos resumido en el listado anterior. Entre otras acciones, incluidas en las anteriores, se encuentran:
- La descripción del ciclo de vida de los datos. Es decir, cómo se recogen, almacenan, tratan, ceden y destruyen.
- La descripción de los intervinientes, es decir, personas físicas o jurídicas que entren en contacto con el tratamiento de los datos. Por ejemplo, empleados, proveedores o gestorías fiscales.
- La identificación de los instrumentos tecnológicos que utilicemos para el tratamiento de los datos personales. Desde ordenadores hasta móviles y tablets, pasando por el hosting donde tenemos alojado nuestro correo electrónico o los discos duros en los que almacenamos las copias de seguridad de nuestros sistemas.
- La identificación detallada de amenazas en su sentido más amplio, desde desastres naturales hasta errores, ataques intencionados o incumplimientos normativos.
- Asignar riesgos en función de las probabilidades de que ocurran y del impacto que produzcan en caso de ocurrir. Como se señala en la propia guía, “riesgo = probabilidad x impacto”.
- Definir las medidas de control ante los riesgos. Se contempla la reducción, la retención, la transferencia o la anulación del riesgo.
Es obvio que el resumen que hemos hecho no abarca todas las particularidades de la Guía para la Evaluación de Impacto en la Protección de los Datos Personales de la AEPD, pero considero que puede resultar útil a como introducción en la misma o bien para valorar las herramientas que pueden resultar útiles para su comprensión y aplicación empresarial.
¿Cómo podemos facilitar el trato de los datos personales?
Para finalizar, recordemos que, tal y como indica la propia Guía:
“Las organizaciones que tengan ya implantados procesos y herramientas de análisis de riesgos pueden utilizarlas para evaluar los relativos a la privacidad y la protección de datos siempre que cubran los aspectos esenciales que toda Evaluación de Impacto en la Protección de Datos debe tener, respetando los requerimientos del RGPD”.
No olvides que, si utilizas un software que trate datos personales, como un ERP, resultará más sencillo que este aporte todas las herramientas necesarias para el cumplimiento del RGPD, tal y como hace Ekon RGPD software.
- Documentos de gestión y acceso a datos personales - 18 de noviembre de 2019
- Que no te engañen, ¿Qué debes exigir a tu ERP para lograr la adaptación a la LOPD? - 28 de febrero de 2019
- La Evaluación de Impacto en la Protección de Datos - 1 de febrero de 2019