Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluaciones de impacto. Contenido mínimo

Este artículo viene a completar al anterior, en cuanto al contenido mínimo que ha de tener una EIPD según lo dispuesto en el artículo 35 apartado 7 del RGPD.

Como no existe una metodología única, les explicaré la que seguimos mi despacho. 

Los pasos a seguir para realizar una EIPD serían los siguientes:

1º) Descripción sistemática de las actividades u operaciones de tratamiento previstas

Por “tratamiento” se entiende el conjunto de operaciones dirigidas a lograr una determinada finalidad que se legitiman en una misma base jurídica. Cada tratamiento incluirá una serie de operaciones como la recogida, registro, organización, estructuración, consulta y utilización de dichos datos. Recuerden que una actividad de tratamiento se debe incluir en el registro de las actividades de tratamiento antes de su puesta en marcha.

Ejemplos de actividades de tratamiento son los siguientes: la captura de datos mediante un formulario web, el filtrado de información mediante un proceso de perfilado, cualquier tarea que requiera la manipulación de datos o su borrado.

En esta primera fase, lo primero, es recabar –de forma ordenada y para cada tratamiento– la siguiente información:

  • Tipología de datos, estableciendo su categoría y grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible, o no, su inclusión. Resulta indispensable conocer, en detalle, el “ciclo de vida” de los datos a tratar, cuyas etapas se resumen en: a) captura de datos; b) clasificación y almacenamiento; c) uso y tratamiento; d) cesión o transferencia; y e) Destrucción. Los datos a tratar pueden ser recopilados directamente del interesado, recibidos de otras áreas de la organización, recopilados de fuentes accesibles al público, de un tercero externo, etc. Dentro de la captura de datos se pueden encontrar diversas técnicas como, por ejemplo: formularios web, formularios en papel, la toma de muestras y realización de encuestas, grabaciones de audio y video, fuentes externas o públicas como redes sociales, etc.
  • Intervinientes implicados en el desarrollo de las actividades de tratamiento, con delimitación de sus funciones y responsabilidades.
  • Finalidades del tratamiento, que tienen que estar definidas de forma determinada, explícita y legítima.
  • Base legitimadora que puede ser el consentimiento inequívoco, que resulte necesario para la ejecución de una relación contractual, el cumplimiento de una obligación legal aplicable al responsable del tratamiento, que el tratamiento sea necesario para proteger intereses vitales del interesado u otra persona física, que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, que sea necesario para la satisfacción de intereses legítimos del responsable del tratamiento o un tercero.
  • Tecnología y sistemas empleados en las actividades de tratamiento.
  • Almacenamiento de la información (soporte físico, digital y/o virtual).
  • Cesión de los datos a terceros (entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos).
  • Transferencias internacionales.
  • Garantías establecidas para asegurar la calidad de los datos.
  • Protocolo de ejercicio de derechos.
  • Plazos de conservación y destrucción de los datos.

Por otra parte, recabaremos información sobre medidas:

  • Organizativas: almacenamiento de la información, ubicación, gestión de riesgos, etc.
  • Seguridad física: control de acceso físico, medidas de vigilancia y seguridad, etc.
  • Seguridad lógica: anonimización, cifrado, controles de integridad y acceso lógico, etc.

2º)  Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.

La proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas o haciendo uso de tecnologías menos invasivas.

En este sentido, se dará respuesta a las siguientes preguntas:

  • ¿El tratamiento, tal y como está definido, es necesario para la finalidad prevista?.
  • ¿Los datos recogidos se van a usar exclusivamente para la finalidad declarada y no para ninguna otra no informada ni incompatible con la legitimidad de su uso?.
  • ¿La finalidad que se pretende cubrir requiere de todos los datos a recabar y para todas las personas afectadas?.
  • ¿Las tecnologías empleadas para el tratamiento son adecuadas para la finalidad establecida desde el punto de vista del cumplimiento de los principios de privacidad?.

3º)  Evaluación de los riesgos

La evaluación de riesgos es el proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo.

Entre otros, como riesgos derivados del tratamiento de datos nos encontramos con la destrucción, pérdida o alteración accidental o ilícita de los datos, accesos no autorizados a dichos datos susceptibles, en particular, de ocasionar daños y perjuicios físicos, materiales o inmateriales, a sus titulares.

Identificar y evaluar los riesgos correctamente es esencial, pues la no identificación de los riesgos derivados del tratamiento implica que éstos no se evalúan y, por tanto, no se tratan.

4º)  Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

Evaluados los riesgos, estableceremos un “plan de acción” que es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudarán a reducir el riesgo de una actividad de tratamiento hasta reducirlo a un nivel de riesgo considerado aceptable.

Las diferentes acciones que podremos tomar sobre el riesgo serán:

  • Eliminar: Suponer la eliminación total del tratamiento, dejando la probabilidad de ocurrencia en 0%.
  • Mitigar: Reducir el riesgo hasta un nivel considerable aceptable.
  • Aceptar: Si el riesgo es alto debemos consultar a la autoridad de control.
  • Transferir: por ejemplo, mediante la contratación de un seguro.

Se recomienda que el plan de acción incluya, al menos, los siguientes campos de información:

  • Descripción del control.
  • Responsable de implantación.
  • Plazo de implantación.

En cuanto a la comunicación y consulta previa a la autoridad de control, decir que es una obligación del responsable del tratamiento, cuando los resultados de la EIPD muestran que el tratamiento entraña un alto riesgo para los derechos y libertades de los interesados aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación.

Realizada la consulta previa a la autoridad de control, esta deberá estudiar si el tratamiento previsto podría infringir la normativa de protección de datos. En caso afirmativo, la AEPD tendrá un plazo de ocho semanas para asesorar por escrito al responsable y, en su caso, al encargado del tratamiento, pudiendo utilizar sus poderes para prohibir el tratamiento. El plazo previsto para resolución podrá prorrogarse seis semanas en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. En cualquier caso, el plazo de resolución podrá suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.

La consulta a la autoridad de control contendrá, como mínimo, los requisitos establecidos en el artículo 36 apartado 3 del RGPD:

  • Responsabilidades de los implicados en el tratamiento (responsable y encargados del tratamiento).
  • Fines y medios del tratamiento previsto.
  • Medidas y garantías establecidas para proteger los derechos y las libertades de los interesados.
  • Datos de contacto del Delegado de Protección de Datos.
  • La evaluación de impacto realizada, indicando la metodología aplicada.

Iniciar un tratamiento sin realizar la consulta previa cuando resulte obligatoria se considera infracción grave, según el artículo 73 letra u) de la LOPDGDD y facilitar información inexacta se considera infracción leve de acuerdo al artículo 74 letra o) de la LOPDGDD.

5º)  Supervisión y control del plan de acción y de las medidas de control.

Adicionalmente a las fases que componen una EIPD es recomendable que exista un proceso de supervisión y revisión de la implantación del plan de acción o de puesta en marcha del nuevo tratamiento.

Como apuntes finales, dos cosas: la primera, es indispensable disponer de un proceso sistemático, a través de un procedimiento estandarizado de trabajo o metodología que permita establecer criterios comunes para garantizar la homogenidad, repetividad y comparabilidad de los resultados; y la segunda, que ante cambios en la descripción del tratamiento, o en la experiencia que muestre amenazas o riesgos desconocidos hasta entonces, se debe realizar una nueva EIPD. Si los cambios no generan nuevas amenazas y riesgos para los derechos y libertades de los interesados, igualmente se debe realizar una valoración de dichos cambios y documentar la “no necesidad” de implantar nuevas medidas de control adicionales.

La Agencia Española de Protección de Datos ha publicado una guía práctica para las EIPD sujetas al RGPD, pero a diferencia de otras guías esta resulta compleja, desordenada y caótica. Les dejo el enlace a dicha guía por si tienen interés en consultarla:

https://www.aepd.es/sites/default/files/2019-09/guia-evaluaciones-de-impacto-rgpd.pdf

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual