Evaluación de Impacto de Protección de Datos

evaluacion de impacto de proteccion de datos
Tabla de contenidos

La evaluación de impacto de protección de datos es una herramienta clave para garantizar el cumplimiento de la normativa relacionada con la protección de datos, y para minimizar los riesgos derivados del tratamiento de información personal. Cada vez son más las empresas que utilizan los datos personales de sus clientes en su día a día, y es muy importante garantizar su protección.

Desde WeOk te ofrecemos un artículo sobre la evaluación de impacto y cómo llevarla a cabo.

 

Qué es la evaluación de impacto de protección de datos

La Evaluación de Impacto de protección de datos o EIPD es una herramienta que permite evaluar los riesgos potenciales a los que se exponen los datos personales de los usuarios en función del tratamiento de los mismos. Su objetivo es identificar y analizar las consecuencias que acciones o actividades específicas del tratamiento pueden tener para la privacidad y seguridad de los datos.

De la EIPD se debe obtener un informe final que permitirá al responsable del tratamiento saber qué medidas de seguridad deberá adoptar para solucionar o reducir los riesgos encontrados y su impacto.

Evaluación de impacto protección de datos

Obligatoriedad de realizar una evaluación de impacto

La obligatoriedad de llevar a cabo una evaluación de impacto de protección de datos no depende ni del tipo de empresa ni de su actividad, sino del tratamiento de datos y los riesgos que puedan aparecer.

En el artículo 35 del Reglamento General de Protección de Datos se establece los casos en los que realizar una EIPD es obligatorio:

  • en los casos en los que se evalúen datos personales de forma sistemática basándose en un tratamiento automatizado, por ejemplo, en el caso de la elaboración de perfiles.
  • en los casos en los que el tratamiento de los datos suponga un riesgo alto para los derechos y libertades de los usuarios.
  • en el caso en el que se traten datos especialmente protegidos a gran escala, por ejemplo, datos de menores o datos relativos a condenas penales.
  • en el caso de que se usen tecnologías especialmente invasivas, como la geolocalización o la biometría.

Contenido mínimo de la evaluación de impacto

Dentro de este mismo artículo del RGPD se incluye el contenido mínimo que debe contener la evaluación de impacto:

  • una descripción sistemática de las operaciones de tratamiento que se van a desarrollar y los fines del tratamiento.
  • una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • una evaluación de los riesgos para los derechos y libertades de los usuarios.
  • las medidas previstas para afrontar los riesgos encontrados, que garanticen la protección de datos personales.

 

Quién debe realizar la evaluación de impacto de protección de datos

El encargado de llevar a cabo la evaluación de impacto es el responsable de tratamiento de los datos. En el caso de que la empresa cuente con Delegado de Protección de Datos (DPO), este puede asesorarlo junto con otro personal de la empresa que tenga conocimiento en la materia de protección de datos, por ejemplo, abogados especialistas en el ámbito.

La persona que tiene la obligación de realizar la EIPD es el responsable de tratamiento de los datos, y como hemos visto, puede estar asesorado por otro personal de la empresa. Además, la normativa permite que también cuente con asesoramiento externo, puesto que este proceso puede resultar complejo.

 

Fases para realizar la evaluación de impacto de protección de datos

Existen 6 fases principales de la evaluación de impacto de protección de datos, que es recomendable seguir para realizarla de forma correcta.

Fases evaluación de impacto protección de datos

Establecer la necesidad de la EIPD y descripción del tratamiento

El primer paso para realizar una evaluación de impacto es establecer la necesidad de llevarla a cabo. Para esto, es necesario describir el tratamiento detalladamente, y valorar si cumple con la Ley Orgánica de Protección de Datos y el RGPD. Si la empresa tiene Delegado de Protección de Datos, su opinión debe ser especialmente valorada.

Análisis del proyecto y flujos de información

La segunda fase consiste en realizar un análisis exhaustivo del proyecto, incluyendo los datos que se tratan, los flujos de información, y las herramientas utilizadas. Esta descripción debe incluir todos los detalles posibles e incluir todos los elementos del tratamiento de los datos dentro de su ciclo de vida.

El ciclo de vida de los datos tiene las siguientes etapas:

  • proceso de obtención de los datos.
  • clasificación de los datos en distintas categorías y almacenamiento.
  • tratamiento de los datos.
  • cesión de los datos a terceros para realizar algún tipo de tratamiento.
  • destrucción de los datos.

Dentro de cada etapa se deben determinar todos los elementos que intervienen, incluyendo actividades de tratamiento, datos que se tratan, personas que intervienen en el proceso y tecnologías empleadas.

Identificación y evaluación de riesgos

En este punto se deberá llevar a cabo un análisis de riesgos que sirva para identificar y evaluar los riesgos que puedan surgir en el tratamiento de los datos y valorar si son aceptables o no.

El nivel de impacto que pueden tener los riesgos se determina según los posibles daños que puedan producir si suceden en la realidad. Hay 4 niveles de impacto:

  • impacto despreciable: el daño causado es irrelevante.
  • impacto limitado: el daño causado tiene un impacto menor.
  • impacto significativo: el daño causado es elevado.
  • impacto máximo: el daño causado es crítico.

Además, los daños producidos pueden ser físicos (hacia la integridad física de la persona), materiales (relativos a pérdidas económicas o patrimoniales) o morales (en relación con la reputación o los derechos fundamentales).

Medidas para llevar a cabo el cumplimiento normativo

Una ver determinados todos los potenciales riesgos, se deben establecer las medidas para solucionarlos. Es decir, se deben determinar las acciones que se pondrán en marcha para garantizar la protección de los datos personales y el cumplimiento con la normativa.

Debemos destacar que, si se determina que un riesgo es muy elevado y, tras aplicar las medidas para afrontarlo, este sigue siéndolo, el riesgo se considerará inaceptable y se suspenderá el tratamiento de los datos.

Informe final

La siguiente fase de la evaluación de impacto de protección de datos es realizar un informe final en el que se establecerá el desarrollo de acciones que se llevarán a cabo. Este informe servirá como base para cumplir con la normativa y contendrá todos los riesgos y medidas encontradas en las fases anteriores.

Revisión

El último paso en el desarrollo de la EIPD es realizar revisiones periódicas del informe final para detectar posibles fallos o aspectos a mejorar. Es importante estar al día con posibles cambios en la normativa y/o en las actividades en la empresa y adaptarse a ellos.

 

Ejemplo de evaluación de impacto de protección de datos

Vamos a ver un ejemplo de evaluación de impacto de protección de datos, de forma simplificada.

Supongamos que una empresa quiere implementar un sistema de gestión de candidatos basado en inteligencia artificial para analizar currículums y preseleccionar potenciales empleados.

  • paso 1: identificar los datos personales que se van a recopilar:
    • datos de identificación: nombre, correo electrónico, teléfono.
    • datos laborales: experiencia, formación.
    • datos adicionales: foto de perfil, enlaces a LinkedIn.
  • paso 2: análisis de riesgos:
    • acceso no autorizado a datos de los candidatos.
    • filtraciones.
    • almacenamiento excesivo de los datos.
  • paso 3: medidas para reducir estos riesgos:
    • cifrado de los datos.
    • acceso restringido y limitación.
    • política de retención de datos.

Tras aplicar las medidas, se vuelven a valorar los riesgos para ver si han funcionado y si son suficientes. Por último, se redacta el informe final.

 

Descubre la evaluación de impacto de protección de datos con WeOk 

La evaluación de impacto de protección de datos o EIPD es una herramienta fundamental para garantizar la protección de los datos de los usuarios y el cumplimiento con la normativa vigente. Esta evaluación no solo ayuda a la empresa a evitar sanciones, sino que también demuestra un compromiso con la protección de la privacidad.

Desde WeOk te ofrecemos asesoramiento experto en tu proceso de protección de datos para que puedas cumplir con todas tus obligaciones relacionadas con esto. Si quieres más información, te animamos a visitar nuestra entrada sobre la auditoría de protección de datos.

¡No dudes en contactarnos!

WeOk

WeOk

ready to take your business to the next level?

Get in touch today and receive a complimentary consultation.

Request a consultation >