Vamos a hablaros de la realización de una Evaluación de impacto en Protección de datos (EIPD).
¿Sabes en qué consiste esta Evaluación de impacto y cuándo debes realizarla? ¿Conoces cómo realizarla y cuál es su contenido?
Aquí tendrás una respuesta clara a todas estas cuestiones.
Evaluación de impacto, ¿qué es?
Podemos definir la Evaluación de impacto como un análisis de los riesgos que un cierto servicio, producto o sistema de información puede ocasionar a la protección de los datos de los sujetos cuyos datos van a ser objeto de tratamiento.
Una vez determinados los riesgos existentes se establecerán las medidas necesarias para gestionarlos, bien eliminandolos o reduciendo su impacto.
La Evaluación de impacto está relacionada con el principio de privacidad desde el diseño y por defecto, recogido en el RGPD. El responsable del tratamiento tiene que tener en cuenta desde la fase de diseño del nuevo producto o servicio las medidas de seguridad que permitan identificar, analizar y gestionar los riesgos asociados al mismo. Todo ello con la finalidad de garantizar la protección de datos y los derechos y libertades de los afectados.
Finalidad de la EIPD
La finalidad de la Evaluación de impacto en protección de datos es que los responsables del tratamiento puedan adoptar las medidas de seguridad con las que se reduzca la posibilidad de que ocurran los riesgos detectados y se eviten los efectos negativos para los afectados.
Estas Evaluaciones de impacto deben realizarse antes de comenzar el tratamiento de los datos personales.
Regulación
RGPD
El RGPD regula la Evaluación de impacto en el artículo 35. Se trata de una nueva obligación que no existía en legislaciones anteriores.
Así, establece la necesidad de realizar la EIPD en los casos en los que los tratamientos de datos puedan suponer un alto riesgo para las libertades y derechos de los ciudadanos.
El RGPD indica los supuestos en los que debe realizarse la Evaluación de impacto. Pero no establece una lista cerrada ya que pueden existir determinados tratamientos que no estén incluidos en esos supuestos pero supongan también un alto riesgo y sea obligatoria la Evaluación de impacto.
LOPDGDD
La nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales habla de la obligación de realizar una Evaluación de impacto en el artículo 28, donde regula las obligaciones de responsables y encargados del tratamiento.
En este artículo se desarrollan también los supuestos establecidos en el RGPD en los que debe realizarse la EIPD.
¿Cuándo debe realizarse una EIPD?
La Evaluación de impacto no debe realizarse en todos los tratamientos aunque podría ser aconsejable realizarla cuando vayamos a iniciar un nuevo tratamiento de datos para examinar los riesgos que ese tratamiento conlleve.
El RGPD establece los casos en los que debe realizarse una EIPD de manera obligatoria. Son aquellos tratamientos que:
- Supongan un alto riesgo para los derechos y libertades de los afectados
- Impliquen una evaluación sistemática de las personas
- Afecten a datos especialmente protegidos
- Se realicen a gran escala
- Consistan en un uso de tecnologías invasivas
Vamos a analizar cada uno de los supuestos.
Alto riesgo
Un tratamiento pueden entrañar un riesgo elevado para las libertades y derechos de los interesados en el caso de utilizar nuevas tecnologías, por ejemplo. O atendiendo al contexto, las finalidades o la naturaleza de ese tratamiento.
Evaluación sistemática
Este supuesto se refiere a aquellos tratamientos que analicen aspectos personales de los individuos mediante la toma de decisiones automatizadas. Sería el caso de la elaboración de perfiles.
Datos especialmente protegidos
Aquí se incluye el tratamiento de datos considerados sensibles, como datos de salud, ideología, origen racial, vida sexual, genéticos, relativos a infracciones o condenas penales y de menores. Estos datos están sujetos a una especial protección.
Gran escala
Esto se refiere a los casos en los que se realice un tratamiento masivo de datos en el que estén implicados un elevado número de afectados o se recojan una gran cantidad de datos personales.
Tecnologías invasivas
Dentro de este supuesto están incluidas aquellas tecnologías que supongan una invasión para la privacidad de las personas como:
- Drones
- Videovigilancia masiva
- Biometría
- Big Data
- Minería de datos
- Geolocalización
- Sistemas genéticos
El RGPD impone a las autoridades de control de los Estados miembros la obligación de publicar una lista con los tratamientos que deben estar sujetos a una Evaluación de impacto.
La AEPD ha publicado hace unos días esa lista de casos en los que es obligatoria la EIPD.
Empresas obligadas a realizar una Evaluación de impacto
Según los supuestos establecidos anteriormente, dentro de las empresas que obligatoriamente deben realizar una EIPD están las siguientes:
- Clínicas y hospitales
- Universidades y centros escolares
- Farmacéuticas
- Tiendas online
- Empresas del sector energético
- Entidades de seguridad privada
- Sector publicitario y de márketing
- Empresas de vigilancia y control
- Sector de las telecomunicaciones
- Empresas de alojamiento web y servicios en la nube
Contenido de la Evaluación de impacto en protección de datos
En el RGPD se establece cuál debe ser el contenido mínimo de una EIPD y los temas que obligatoriamente se deben analizar en la misma.
1. Necesidad de la EIPD
En primer lugar se determinará si debemos o no realizar esa Evaluación de impacto.
En caso de que nuestra empresa no se encuentre dentro de las obligadas a realizar esa Evaluación de impacto podemos decidir hacerla para evitar riesgos sobre la protección de datos de nuestros clientes o usuarios al iniciar un nuevo tratamiento.
2. Descripción del tratamiento y su finalidad
En esta fase tendremos que examinar profundamente el nuevo tratamiento que vamos a llevar a cabo recogiendo el tipo de datos a tratar, los interesados, los fines de ese tratamiento, si esos datos se cederán o comunicarán a terceros y las tecnologías que vamos a emplear.
3. Detalle de los riesgos que afecten a la privacidad
Debemos identificar los riesgos que puedan dañar la protección de datos de los interesados, analizar la probabilidad de que ocurran y los efectos que ocasionarían en caso de producirse.
Existen dos clases de riesgos:
- Los que afectan a los titulares de los datos: vulneración de sus derechos, pérdida de datos o daños causados por un uso fraudulento o ilícito.
- Los que afectan a la empresa en caso de no haber aplicado una adecuada política de protección de datos o lo haya hecho de forma incorrecta sin aplicar las adecuadas medidas de seguridad para proteger la información personal.
4. Gestión de riesgos y soluciones para garantizar la privacidad
Esta fase consiste en establecer las medidas y controles necesarios para impedir que esos riesgos para la privacidad se produzcan o para reducir sus efectos.
5. Análisis de cumplimiento normativo
Es necesario establecer controles periódicos que garanticen el cumplimiento de la normativa, tanto de protección de datos como otra específica según el sector de nuestra empresa (por ejemplo, la sanitaria, la LSSI, la relativa a servicios de telecomunicaciones o de publicidad).
6. Informe final
Una vez identificados los riesgos y determinadas las soluciones para evitarlos o reducirlos, elaboraremos un informe final. Este informe debe redactarse en un lenguaje que facilite su comprensión a todos los destinatarios del mismo, evitando tecnicismos jurídicos o técnicos.
Contenido
El contenido del informe de la EIPD debe ser:
- Explicación de las actividades de tratamiento previstas
- Análisis de los riesgos para las libertades y derechos de los interesados
- Soluciones previstas para minimizar o evitar esas amenazas
- Medidas de seguridad, garantías y sistemas que garanticen el cumplimiento de la normativa de Protección de datos.
- Posibles códigos de conducta que sean aplicables
- Criterio de los interesados
7. Aplicación de las sugerencias
Debemos establecer las actuaciones a realizar para cumplir las recomendaciones previstas en el informe de Evaluación de impacto. También se determinará la persona responsable de realizarlas y los recursos necesarios.
Las medidas a aplicar pueden ser tanto organizativas como técnicas o contractuales. Y es la empresa la que debe decidir la mejor manera de aplicarlas.
8. Revisión
Una vez que se haya iniciado el tratamiento debemos analizar si los riesgos detectados se han afrontado correctamente y que no existen otros riesgos que no hayamos tenido en cuenta o que hayan surgido posteriormente.
En caso de que se produzca una modificación en ese tratamiento o aparezcan nuevos riesgos debemos actualizar esa Evaluación de impacto.
Preguntas frecuentes
¿Es posible que realice yo mismo en mi empresa la Evaluación de impacto?
No, en ese caso no serías objetivo respecto a los riesgos que puedan derivarse del tratamiento que vas a realizar. Necesitas asesorarte por especialistas en Protección de datos que establezcan esos riesgos y las medidas adecuadas para reducirlos o evitarlos.
¿Y cuál es el precio de una EIPD?
Depende. Los precios son muy variables ya que dependen de distintos factores como el tamaño de la empresa, si se va a evaluar un servicio o producto concreto o toda la actividad de la empresa, etc.
El precio del informe de Evaluación de impacto en protección de datos se establece normalmente teniendo en cuenta los días y los recursos utilizados en su elaboración, el trabajo realizado en la empresa y la cantidad de especialistas implicados.
¿Cuál es el papel del Delegado de Protección de datos en la EIPD?
El DPO tiene la función de asesorar al responsable del tratamiento a la hora de realizar una Evaluación de impacto.
También puede bien intervenir activamente en el desarrollo de la Evaluación de impacto, coordinando y actuando como interlocutor entre los distintos participantes, o bien colaborando que el evaluador.
¿Qué ocurre si no hago la Evaluación de impacto estando obligado a hacerla?
En ese caso estarías infringiendo la normativa de Protección de datos y pueden sancionarte.
La LOPDGDD considera como infracción grave la no realización de la Evaluación de impacto en los supuesto en que exista obligación de hacerla. Y las multas pueden llegar hasta los 10 millones de euros.