93 886 65 29 info@cfmgrup.com

EVALUACIÓN DE IMPACTO (EIPD)

Una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

El Artículo 35 UE RGDP (UE 2016/679, de 27 de abril de 2016) «Evaluación de impacto relativa a la protección de datos  dispone que:

  • Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  • El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
  • La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de: a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o c) observación sistemática a gran escala de una zona de acceso público.
  • La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.

La evaluación deberá incluir como mínimo:   a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;  b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;  c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1. d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

 

Una EIPD es una herramienta que va más allá de una evaluación de cumplimiento normativo aunque, obviamente, la verificación de dicho cumplimiento es una parte integral de cualquier EIPD y que se adentra tanto en las expectativas de privacidad que tienen las personas ante cualquier tratamiento de sus datos personales como en las percepciones generales de la sociedad o, concretamente, de los colectivos más afectados por el tratamiento del que se trate.

  • Debe ser sistemática y reproducible, y estar orientada a revisar procesos más que a producir un resultado o informe final. Además, debe permitir una identificación clara de los responsables de las distintas tareas.
  • Comienza con una primera fase de identificación y clasificación de la información para determinar los datos personales que se tratan y sus características.
  • Debe identificar quién y cómo tendrá acceso y tratará los datos personales.
  • Se debe permitir participar en el proceso y realizar aportaciones a todos los afectados por el mismo, tanto departamentos de la organización como socios o entidades externas, afectados u otros agentes sociales.
  • Debe contener una descripción de los controles que se implantarán para asegurar que solo se tratan los datos personales necesarios y para las finalidades legítimas previstas y definidas.
  • El resultado final debe ser un documento con un contenido mínimo y una estructura que deben definirse previamente.
  • Este resultado final de una EIPD debería tener un cierto grado de publicidad en un documento distribuido por la organización que la ha realizado y que, por supuesto, no contendrá información confidencial o sensible.

Las fases de las que se compone una EIPD son:

  • ANÁLISIS DE LA NECESIDAD DE LA EVALUACIÓN
  • DESCRIPCIÓN DEL PROYECTO Y DE LOS FLUJOS DE DATOS PERSONALES
  • IDENTIFICACIÓN DE LOS RIESGOS
  • GESTIÓN DE LOS RIESGOS IDENTIFICADOS
  • ANÁLISIS DEL CUMPLIMIENTO NORMATIVO
  • INFORME FINAL
  • IMPLANTACIÓN DE LAS RECOMENDACIONES
  • REVISIÓN Y REALIMENTACIÓN

Además, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información de la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis coste-beneficios de las distintas medidas recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Las Evaluaciones de Impacto en la Protección de Datos Personales son una herramienta nueva en España pero cuentan ya con una tradición de décadas, fundamentalmente en países de habla inglesa. La AEPD entiende que son instrumentos que pueden jugar un papel fundamental en la mejora de la privacidad en todos aquellos nuevos tratamientos de datos personales que se pongan en marcha.

Las evaluaciones de impacto en la protección de datos personales forman parte esencial de una nueva generación de herramientas y metodologías que buscan una aproximación proactiva a los retos de implantar garantías que salvaguarden el derecho fundamental a la protección de datos en nuestras modernas sociedades de la información, constituyéndose, además, en un elemento destacado de la Privacidad desde el Diseño.

Igualmente, cada vez se abre paso con más fuerza la idea de que los responsables de tratamientos de datos personales han de ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). En este sentido, una EIPD desarrollada con seriedad es un instrumento ideal para que los responsables puedan mostrar esa diligencia y desarrollar los métodos y procedimientos adecuados.

Ante el nuevo marco normativo Europeo de Protección de Datos, CFM GRUP incorpora en sus servicios “Evaluación de Impacto (EIPD)”.

Si lo considera de su interés puede contactar con nosotros sin compromiso para cualquier información.