Protección de datos personales

Cómo hacer una evaluación de impacto sobre la protección de datos

Hacer una evaluación de impacto / Perform a data proctection impact assessment

Uno de los temas más controvertidos que ha traído el Reglamento General de Protección de Datos de la Unión Europea (RGPD) es la Evaluación de Impacto sobre la Protección de Datos (EIPD) del artículo 35. Lo mejor es entender la EIPD como un análisis de riesgo enfocado a la legitimación y salvaguardas de las operaciones de tratamiento. Como mínimo, debería:

  1. Comparar las operaciones de tratamiento planeadas con los intereses legítimos de negocio del responsable del tratamiento, e.g., tu compañía
  2. Valorar la necesidad y proporcionalidad del tratamiento para las finalidades previstas
  3. Evaluar los riesgos para los “derechos y libertades” de los interesados (término usado para describir a las personas protegidas por el RGPD)
  4. Evaluar las salvaguardas administrativas y técnicas implementadas para proteger los datos personales.

El objetivo es identificar, minimizar, y monitorizar los riesgos para la protección de datos inherentes a las actividades de tratamiento. Una EIPD es obligatoria para ciertos tipos de tratamientos, incluidas las nuevas tecnologías. Otros incluyen, inter alia, las decisiones automatizadas o el tratamiento de datos incluidos en las categorías especiales del artículo 9, como tratamientos a gran escala de datos relativos a condenas o infracciones penales o de menores, sin informar directamente al interesado sobre el tratamiento.

Los artículos del RGPD se encuentran respaldados por documentos de trabajo (working papers) que los explican. El Working Paper (WP29) requiere un mínimo de documentación incluso cuando una EIPD completa no es necesaria. Este “umbral de evaluación” debería realizarse y estar documentado independientemente de si se realiza o no una EIPD completa. La determinación de la necesidad de realizar una EIPD y los resultados de esa evaluación deben documentarse como justificación de no realizar una EIPD completa de un sistema.

Desencadenantes habituales

Las dos áreas de tratamiento que normalmente requerirán una EIPD obligatoria son las Nuevas Tecnologías y los tratamientos realizados sin dar una información directa de protección de datos. Se considera que una nueva tecnología es cualquier sistema implementado después de la fecha de aplicabilidad del 25 de mayo de 2018. Este concepto se suma a otro requisito esencial del RGPD, la protección de datos desde el diseño. Si un sistema es implementado después de que el RGPD sea aplicable, la EIPD dirigirá su arquitectura para garantizar que la protección de datos es considerada desde la etapa del diseño y durante todo su ciclo de vida.

La información de protección de datos es un factor determinante para llevar a cabo una EIPD. El RGPD crea derechos de protección de datos para las personas que son análogos a los derechos civiles que ya poseen bajo las Constituciones de sus países miembros. La temática general de los derechos de protección de datos se resume mejor en una cita de Steve Jobs, anteriormente olvidada y ahora recientemente relevante: “La privacidad significa que las personas saben para qué se inscriben, en inglés sencillo, y repetidamente“. Esta es una expresión clara de los requisitos de información del RGPD, si bien también se requiere dar la información en el idioma del interesado, ya que el estándar del RGPD es “transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo“. Esto significa que cada individuo debe dar su consentimiento informado para que sus datos sean tratados con la finalidad específica y prevista.

Sistemas actuales

Una vez el sistema está implementado, la EIPD se vuelve un proceso recurrente para asegurar que los derechos y libertades de las personas están continuamente protegidos. Entre los desencadenantes potenciales que motivarían hacer una reevaluación se incluyen las nuevas vulnerabilidades y los cambios en tecnologías, el contexto del tratamiento o en el interesado. Debido a que estos casi siempre están en proceso de cambio, la EIPD debería identificar su período de recurrencia.

La Evaluación de Impacto

La EIPD puede ser llevada a cabo por personal de la propia organización o por externos, no obstante una de las responsabilidades explícitas del Delegado de Protección de Datos (DPD) es asesorar en la EIPD y monitorizar su ejecución. La EIPD se centra en la protección de datos y los derechos de los interesados; no se centra en la seguridad de la información de la organización. Si bien la evaluación puede realizarse en base a una miríada de metodologías, deberían utilizarse unos criterios comunes. Si el resultado de cualquier EIPD es un riesgo alto para el interesado, se debe consultar a la autoridad de control antes de tratar cualquier dato.

Hacer una evaluación de impacto sobre la protección de datos

Cómo prepararse

Las circunstancias, requisitos y detalles de completar una EIPD son complejos. El siguiente paso para cualquier organización con datos de interesados de la UE es identificar cómo el RGPD les impactará, y evaluar la necesidad de llevar a cabo la EIPD. Esa paso debería llevar a la organización a determinar sus obligaciones adicionales con el RGPD e impulsar cualquier otra acción requerida. Es prudente recurrir a un abogado externo en caso de dudas. Además, establecer o administrar evaluaciones de la seguridad de la información y de la protección de datos a través de un abogado puede proveerte de una defensa legal privilegiada si alguna vez te enfrentas a un litigio.

 


Versión traducida del original publicado por UpCounsel

Foto de cabecera de Helloquence, en Unsplash

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *