Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

La evaluación de impacto en la protección de datos personales

Fecha de publicación 27/08/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Redes sociales, empresas de marketing, entidades bancarias, industria minorista, salud, etc., son muchas las empresas que utilizan los datos personales como base para su negocio o como complemento para la mejora de algún aspecto particular. Mediante la incorporación del Reglamento General de Protección de Datos (RGPD) y posteriormente, de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), se han establecido los casos en los que las empresas deberán realizar una evaluación de impacto de protección de datos o EIPD.

¿Qué es una EIPD?

Una EIPD es una herramienta de carácter preventivo que basa su funcionamiento en llevar a cabo un análisis de los riesgos potenciales a los que están expuestos los datos personales de una organización debido al tratamiento que se hace con ellos. El análisis identificará los riesgos que pueden afectar a los datos, y por lo tanto a las personas que los han generado. Además, indicará las salvaguardas que se deben implantar para reducir los riesgos que afectan a su seguridad.

Para ayudar en esta tarea la Agencia Española de Protección de Datos (AEPD), ha puesto a disposición de cualquier usuario la herramienta Gestiona EIPD. Haciendo uso de la misma obtendrás el análisis de los riesgos a los que están expuestos los datos, así como las salvaguardas necesarias para protegerlos.

¿Cuándo se debe hacer una EIPD?

Realizar una EIPD no es obligatorio en todos los casos, aunque en muchas situaciones donde se realice un tratamiento de datos, será recomendable. Solamente es obligatorio cuando este tratamiento pueda entrañar un riesgo alto para los derechos y libertades de los usuarios. Los supuestos en que es obligatorio realizar una EIPD son:

  • tratamientos de datos especialmente protegidos de forma sistemática o masiva;
  • tratamientos de datos de forma masiva o Big Data;
  • tratamientos de datos de menores de edad de forma significativa;
  • el objetivo del tratamiento es predecir aspectos personales o elaborar perfiles;
  • se cruzan datos de usuarios con los de otras fuentes;
  • se utilizarán los datos obtenidos para una finalidad más intrusiva que la finalidad original para la que fueron recogidos;
  • utilización de tecnologías especialmente invasivas para la privacidad;
  • cesión de datos a terceros;
  • transferencia de datos a países fuera del EEE (Espacio Económico Europeo);
  • se contactará con las personas de forma intrusiva;
  • utilización de  datos personales no disociados o no anonimizados de forma irreversible para fines estadísticos, históricos o de investigación científica;
  • riesgos específicos que puedan comprometer la confidencialidad, la integridad o la disponibilidad de los datos personales.

En caso de no cumplir ninguna de estas casuísticas y realizar un tratamiento de datos de bajo riesgo, la AEPD pone a disposición de cualquier usuario la herramienta FACILITA, con la que se obtiene la información necesaria para cumplir lo indicado en el RGPD.

Fases de una EIPD

La AEPD ha elaborado una guía donde se detallan los pasos para llevar a cabo una EIPD. A modo de resumen las fases que se deben seguir son:

01 Identificar la necesidad de una EIPD. 02 Análisis del proyecto y flujos de información. 03 Identificación de riesgos. 04 Gestión de riesgos. 05 Cumplimiento normativo. 06 Informe final. 07 Implementación de las recomendaciones. 08 Revisión.

Identificar la necesidad de una EIPD

Como ya se indicó, realizar un EIPD no es una obligación para todas las empresas, aunque es recomendable hacerlo en todos los casos que se traten datos personales. Cuando no sea obligatorio se puede optar por una aproximación menos formalizada. El resultado ayudará a la empresa a proteger los datos, mantener una buena reputación y evitar sanciones.

Análisis del proyecto y flujos de información

Esta segunda etapa es de gran importancia para realizar una buena EIPD. Para ello, será necesario analizar en profundidad el proyecto que engloba el tratamiento de datos personales, como por ejemplo categorías tratadas, actores implicados, tecnologías, cesiones a terceros, etc.

Identificación riesgos

Con toda la información obtenida en la etapa anterior se deberán identificar los posibles riesgos a los que están expuestos los datos, valorar la probabilidad y el impacto que tendría la materialización de la amenaza.

Los riesgos pueden ser de dos tipos:

  • Para las personas, el principal a tener en cuenta, puede poner en riesgo su privacidad;
  • para la empresa, derivado de no implementar una correcta política de protección de datos.

Gestión de riesgos

Una vez analizado el proyecto y definidos los riesgos, se deberán identificar los controles y medidas de seguridad necesarias. Esta fase debe ser llevada a cabo y consensuada entre todos los actores implicados en el tratamiento.

Cumplimiento normativo

Se comprobará que el contenido de la EIPD cumple con la legislación en materia de protección de datos (LOPDGDD y RGPD). Dependiendo del sector empresarial también podría existir alguna otra legislación aplicable y de obligado cumplimiento.

Informe final

En el informe final se incluirá toda la información que se ha generado durante las etapas anteriores. Este informe deberá estar elaborado con un lenguaje claro, evitando la inclusión de tecnicismos de cualquier tipo. Dicho informe será remitido a los máximos responsables de la empresa para que tomen las decisiones necesarias en función de las recomendaciones indicadas.

Implantación de las recomendaciones

Una vez revisado el informe, se deberán aplicar las medidas necesarias para proteger los datos personales indicadas por los directivos de la empresa. En esta fase se definirán los recursos necesarios y el responsable de su ejecución.

Revisión

Una vez terminado el proceso se analizará el resultado final y la efectividad de los controles tomados. También se identificarán nuevos riesgos a los que están expuestos los datos.

 

La evaluación del impacto en materia de protección de datos es una tarea que evaluará los riesgos a los que están expuestos los datos personales o datos protegidos en la actividad diaria de nuestra empresa, y que nos ayudarán a cumplir con la legislación vigente, evitando posibles sanciones y ayudando a que nuestra empresa cuente con una buena reputación.