Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluaciones de impacto. Contenido mínimo

Este artículo viene a completar al anterior, en cuanto al contenido mínimo que ha de tener una EIPD según lo dispuesto en el artículo 35 apartado 7 del RGPD.

Como no existe una metodología única, les explicaré la que se sigue en PROTECCIÓN DATA. 

Los pasos a seguir para realizar una EIPD serían los siguientes:

1º) Descripción sistemática de las operaciones de tratamiento previstas y sus fines

Por «tratamiento» se entiende el conjunto de operaciones dirigidas a lograr una determinada finalidad que se legitiman en una misma base jurídica.

El tratamiento de datos incluye una serie de operaciones, tales como recogida, registro, organización, estructuración, consulta y utilización de dichos datos. 

Ejemplos de actividades de tratamiento: captura de datos mediante un formulario web, el filtrado de información mediante un proceso de perfilado, cualquier tarea que requiera la manipulación de datos o su borrado.

En esta primera fase, lo primero, es recabar –de forma ordenada y para cada tratamiento– la siguiente información:

  • Tipología de datos, estableciendo su categoría y grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible, o no, su inclusión.

Resulta indispensable conocer el ciclo de vida de los datos, cuyas etapas se resumen en:

    1. Captura.
    2. Clasificación y almacenamiento.
    3. Uso y tratamiento.
    4. Cesión o transferencia.
    5. Destrucción.

Los datos a tratar pueden ser recopilados directamente del interesado, recibidos de otras áreas de la organización, recopilados de fuentes accesibles al público, de un tercero, etc. Dentro de la captura de datos se pueden encontrar diversas técnicas como, por ejemplo: formularios web o en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, fuentes públicas, etc.

  • Intervinientes en el desarrollo de las actividades de tratamiento, con delimitación de funciones y responsabilidades.
  • Finalidades del tratamiento, que tienen que estar definidas de forma determinada, explícita y legítima.
  • Base legitimadora, que puede ser el consentimiento inequívoco, que resulte necesario para la ejecución de una relación contractual, el cumplimiento de una obligación legal aplicable al responsable del tratamiento, que el tratamiento sea necesario para proteger intereses vitales del interesado u otra persona física, que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, que sea necesario para la satisfacción de intereses legítimos del responsable del tratamiento o un tercero.
  • Tecnología y sistemas empleados en las actividades de tratamiento.
  • Almacenamiento de la información (soporte físico, digital y/o virtual).
  • Cesión de los datos a terceros (entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos).
  • Transferencias internacionales.
  • Garantías establecidas para asegurar la calidad de los datos.
  • Protocolo de ejercicio de derechos.
  • Plazos de conservación y destrucción de los datos.

Por otra parte, recabaremos información sobre medidas:

  • Organizativas: almacenamiento de la información, ubicación, gestión de riesgos, etc.
  • Seguridad física: control de acceso físico, medidas de vigilancia y seguridad, etc.
  • Seguridad lógica: anonimización, cifrado, controles de integridad y acceso lógico, etc.

2º)  Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad

La proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas o haciendo uso de tecnologías menos invasivas.

En este sentido, se dará respuesta a las siguientes preguntas:

  • ¿El tratamiento es necesario para la finalidad prevista?
  • ¿Los datos recogidos se van a usar exclusivamente para la finalidad declarada y no para ninguna otra no informada ni incompatible con la legitimidad de su uso?
  • ¿La finalidad que se pretende cubrir requiere de todos los datos a recabar y para todas las personas afectadas?
  • ¿Las tecnologías empleadas para el tratamiento son adecuadas para la finalidad establecida desde el punto de vista del cumplimiento de los principios de privacidad?

3º)  Evaluación de los riesgos para los derechos y libertades de los interesados

La evaluación de riesgos es el proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo.

Entre otros, como riesgos derivados del tratamiento de datos nos encontramos con la destrucción, pérdida o alteración accidental o ilícita de los datos, accesos no autorizados susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, a sus titulares.

Identificar y evaluar los riesgos correctamente es esencial, pues la no identificación de los riesgos derivados del tratamiento implica que éstos no se evalúan y, por tanto, no se tratan.

4º)  Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

Evaluados los riesgos, estableceremos un plan de acción, que es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudarán a reducir el riesgo de una actividad de tratamiento hasta reducirlo a un nivel de riesgo considerado como aceptable.

Las diferentes acciones que podremos tomar sobre el riesgo serán:

  • Eliminar: Supone la eliminación total del tratamiento, dejando la probabilidad de ocurrencia en 0 %.
  • Mitigar: Reducir el riesgo hasta un nivel considerable como aceptable.
  • Aceptar: Si el riesgo es alto debemos consultar a la autoridad de control.
  • Transferir: por ejemplo, mediante la contratación de un seguro.

Se recomienda que el plan de acción incluya, al menos, los siguientes campos de información:

  • Descripción del control.
  • Responsable de implantación.
  • Plazo de implantación.

Si el tratamiento entraña un alto riesgo para los derechos y libertades de los interesados, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación, el responsable formulará una consulta, con carácter previo al tratamiento, a la autoridad de control. Si quieren saber más sobre la consulta previa hagan clic aquí.

5º)  Supervisión y control del plan de acción y de las medidas de control

Adicionalmente a las fases que componen una EIPD es recomendable que exista un proceso de supervisión y revisión de la implantación del plan de acción o de puesta en marcha del nuevo tratamiento.

Como apuntes finales, dos cosas: la primera, es indispensable disponer de un proceso sistemático, a través de un procedimiento estandarizado de trabajo o metodología que permita establecer criterios comunes para garantizar la homogenidad, repetividad y comparabilidad de resultados; y la segunda, que ante cambios en la descripción del tratamiento o en la experiencia que muestre amenazas, vulnerabilidades y/o riesgos desconocidos hasta entonces, se debe realizar una nueva EIPD. Si los cambios no generan nuevas amenazas y riesgos para los derechos y libertades de los interesados, igualmente se debe realizar una valoración de dichos cambios y documentar la “no necesidad” de implantar nuevas medidas de control adicionales.

La Agencia Española de Protección de Datos ha publicado una guía práctica para las EIPD sujetas al RGPD. A diferencia de otras guías, esta resulta compleja, desordenada y caótica. Haciendo clic aquí pueden consultar dicha guía. También les dejo un enlace a la plantilla propuesta por la AEPD para los informes de EIPD:

MODELO DE EIPD ELABORADO POR LA AEPD

 

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).