Día a día, intento acercar la regulación en materia de Protección de Datos de carácter personal a vuestros negocios y empresas, con explicaciones que pretendo que sean claras, directas y prácticas.

Hoy me gustará compartir con vosotros un valioso recurso elaborado por la Agencia Española de Protección de Datos, y de distribución gratuita, que es la “Guía para una Evaluación de Impacto en la Protección de Datos Personales”.

Guía EIPD

La AEPD ha publicado esta Guía EIPD, en la que se detalla el proceso mediante el cual las entidades pueden identificar, antes de que se materialicen, los riesgos de un producto o servicio para la protección de datos.

En la Guía se señalan situaciones en las que sería necesario realizar este análisis, identifica posibles riesgos y propone las medidas que se deberían adoptar. El documento incluye plantillas y anexos útiles, para su uso directo por parte de las organizaciones.

La AEPD también ha creado una herramienta para ayudar a las empresas a realizar un análisis de riesgos sobre los tratamientos que realizan.

¿Qué es una Evaluación de Impacto en la Protección de Datos?

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan.

El objetivo es, por un lado, conseguir una protección más activa del derecho fundamental a la Protección de Datos y, por otro, potenciar las políticas preventivas entre las organizaciones para evitar tanto costosos rediseños de los sistemas una vez han sido desarrollados como posibles daños a la reputación y la imagen por un tratamiento inadecuado de los datos personales.

Básicamente, se trata de una herramienta esencial que permite a las organizaciones evaluar de forma anticipada las vicisitudes a las que se verán sometidos los datos personales en función de los tratamientos previstos.

¿Cuándo se debe realizar una EIPD?

cuando-realizar-eipd

Algunas de las situaciones en las que sería recomendable llevar a cabo este análisis son:

  • Utilización de tecnologías que se consideran especialmente invasivas con la privacidad, como la videovigilancia a gran escala, minería de datos, biometría, técnicas genéticas, geolocalización.
  • Tratamiento de grandes volúmenes de datos a través de sistemas como el Big data o la Internet de las cosas.
  • Tratamiento de datos de menores de 14 años.
  • Cuando se plantee el uso de información personal de la que ya se dispone para finalidades o usos distintos a los previstos inicialmente y/o que proceda de fuentes u orígenes distintos mediante el cruce de información enriqueciendo el tratamiento original.
  • Si se utilizan datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.
  • Realización de una transferencia de datos a países que no forman parte del Espacio Económico Europeo (EEE) y que no hayan sido objeto de una declaración de adecuación.
  • Cuando los datos personales vayan a ser revelados a organizaciones o personas que anteriormente no han tenido acceso a esa información.

Supuestos que establece el RGPD

Los supuestos que el Reglamento General de Protección de Datos contempla como obligatorios son aquellos en que se produzcan:

  • Decisiones automatizadas, que originen efectos jurídicos hacia el interesado (persona a quien corresponden los datos personales) o le afecte significativamente.
  • Tratamientos a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.
  • Observación sistemática a gran escala de una zona de acceso público.
  • Operaciones que, a criterio de la autoridad de control competente, impliquen un alto riesgo para los derechos de los interesados.
  • Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o fines, implique un alto riesgo para los derechos y libertades de las personas físicas, y en particular si utiliza nuevas tecnologías.

Objetivos de la Evaluación de Impacto en Protección de Datos

El principal objetivo de toda EIPD es reducir los riesgos para la protección de los datos personales y para otros derechos que puedan verse afectados como consecuencia del tratamiento de los datos de carácter personal. En consecuencia, el análisis de los riesgos y la medición de éstos, es una parte importante de toda evaluación de impacto. Sin embargo, no es la única y, además, en el caso de las EIPD, el análisis de riesgos debe llevarse a cabo con ciertas particularidades que lo distinguen de otro tipo de análisis de riesgos que puede convenir realizar también en la organización.

A su vez, con una EIPD se pueden obtener otros beneficios o ventajas como, por ejemplo:

  • Entender mejor lo que implica la protección de datos.
  • Conseguir una gestión más eficaz de los activos y procesos de la entidad.
  • Ayuda a la continuidad del negocio.
  • Facilita también el cumplimiento de otras muchas obligaciones requeridas por el RGPD.

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan.

Análisis de Riesgos: algo cada vez más habitual

En España no existe por el momento una obligación legal de realizar Evaluaciones de Impacto de esta naturaleza, aunque será cada vez más habitual cuando entre en vigor el Reglamento General de Protección de Datos para la Unión Europea.

En cualquier caso, con independencia de la exigencia normativa, se trata de una metodología que ha alcanzado ya un grado de desarrollo suficiente como para considerarla plenamente incorporable a nuestro país. La Agencia considera que la aplicación de estas políticas proactivas de protección de datos puede suponer una ventaja competitiva entre las organizaciones que las apliquen, además de ser un excelente ejercicio de transparencia.

En el Anteproyecto de nueva LOPD ya se alude a la obligación del Responsable del tratamiento de realizar una Evaluación de Impacto en la Protección de Datos.

La evaluación de impacto supone la realización de un análisis de riesgos. Se trata de algo habitual de encontrar en algunos ámbitos por exigencia del “negocio”: Hablamos del ámbito financiero, sector asegurador etc.

Adicionalmente los estándares internacionales (como por ejemplo ISO) han abordado la elaboración de normas en materia de gestión de riesgos. Para quienes no tengan conocimiento de ello simplemente decir que las normas ISO son desarrolladas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission).

Normas ISO/IEC

ISO es un organismo encargado de promover el desarrollo de normas internacionales de fabricación (de productos y servicios), comercio y comunicación, consiguiendo la estandarización de normas para organizaciones tanto públicas como privadas a nivel internacional.

IEC por su parte es una organización de normalización en los ámbitos eléctrico, electrónico y en las tecnologías relacionadas.

Ambos organismos desarrollan algunas normas de forma conjunta: Las normas ISO/IEC

Dichas normas son voluntarias y no pueden imponerse a ningún país, sin perjuicio de que hay supuestos en los que las legislaciones nacionales deciden dotarlas de rango legal al establecer en sus legislaciones la obligatoriedad de las mismas.

En concreto existe una ISO específica sobre gestión del riesgo: la ISO 31000:2009. Podemos decir que es la norma base que debemos considerar en materia de gestión del riesgo; sin perjuicio de la posterior aplicación o concreción a otros marcos normativos específicos (como por ejemplo la ISO/IEC 27001:2013 de Seguridad de la información o la ISO 22301:2012 continuidad de negocio).

¿Qué tengo que conocer para hacer una Evaluación de Impacto en Protección de Datos?

Para realizar esta EIPD es necesario conocer:

  • Metodología de gestión de riesgos.
  • Normativa de Protección de Datos.

Fases de la EIPD

En la realización de una EIPD se distinguen diversas fases:

Necesidad de la EIPD

En esta fase se realiza una valoración de la conveniencia de llevar a cabo o no una Evaluación de Impacto.

En pequeñas o medianas empresas o en aquellas cuya actividad no suponga un tratamiento masivo de datos de carácter personal o no esté orientada a la explotación de los mismos con finalidades que supongan una invasión importante de la privacidad, sería posible optar por una aproximación menos formalizada que, teniendo en cuenta los principios básicos detallados, implique una reflexión seria y responsable sobre los tratamientos de datos personales que se vayan a efectuar y, así, detectar y minimizar los riesgos para los derechos de los afectados que los mismos pudieran entrañar.

Descripción del proyecto y los flujos de información

En esta fase se realiza un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.

Una correcta cumplimentación de este paso es crucial para realizar una evaluación de impacto adecuada y significativa y para la identificación de los riesgos para la privacidad.

El contenido de esta documentación pondrá de manifiesto los objetivos, los actores implicados, las categorías de datos que se tratarán, las tecnologías utilizadas, las comunicaciones a terceros, la necesidad de utilizar o no todos los datos previstos, la necesidad que tienen los participantes de acceder y utilizar datos personales o categorías de datos personales específicas, etc.

Identificación de los riesgos que afecten a la privacidad

Análisis de los posibles riesgos para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.

Los riesgos pueden ser de dos tipos. El primero y más importante es el que afecta a las personas cuyos datos son tratados y que se concreta en la posible violación de sus derechos, la pérdida de información necesaria o el daño causado por una utilización ilícita o fraudulenta de los mismos.

Otro tipo de riesgos son los que puede afrontar una organización por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada o errática, sin poner en marcha mecanismos de planificación, implantación, verificación y corrección eficaces.

Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad

Identificación de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.

En la teoría general de análisis de riesgos se preveen diversas opciones dependiendo del impacto que su materialización tendría para la organización: evitarlo o eliminarlo, mitigarlo, transferirlo o aceptarlo.

En algunos casos, estas opciones también estarán abiertas en relación con los riesgos para la privacidad identificados en una EIPD, pero en todos aquellos que supongan un incumplimiento normativo la única opción aceptable es evitarlos o eliminarlos.

Análisis de cumplimiento normativo

Implementación de las soluciones para garantizar la privacidad (controles periódicos).

Ello incluye la legislación básica de Protección de Datos personales y, en concreto, la Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo. Pero, dependiendo del sector en el que opere la organización o del proyecto concreto, también pueden existir obligaciones adicionales como, por ejemplo, la legislación sanitaria, de telecomunicaciones o de servicios de sociedad de la información o, en la propia LOPD, lo que se refiere a los ficheros de las Fuerzas y Cuerpos de Seguridad, a la prestación de servicios de solvencia patrimonial y crédito, o los tratamientos con fines de publicidad y prospección comercial.

Informe final

Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.

El lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo o, al menos, si no es posible dejar de evitar ciertos términos jurídicos o tecnológicos. Es conveniente incluir un glosario con las definiciones y no dar por supuesto que cualquier lector los conoce con precisión.

Implantación de las recomendaciones

Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.

El informe final debe ser remitido a la alta dirección de la organización para que tome las decisiones necesarias en relación con las recomendaciones realizadas y las medidas sugeridas.

Como las medidas a adoptar pueden ser de diversos tipos (organizativas, tecnológicas, contractuales, etc.) no existe un método que indique cómo han de ser llevadas a cabo, y cada organización debe decidir cuál es el que mejor se adapta a su cultura y estructuras de gestión.

Revisión y retroalimentación

Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluación de impacto y actualizarla cuando sea necesario.

Es necesario, pues, examinar el proyecto una vez operativo para verificar que los riesgos detectados se han abordado correctamente y que no existen otros nuevos que en su momento pasaron desapercibidos o que han surgido posteriormente, lo que llevaría aparejada una nueva repetición de las fases de la EIPD.

Contenido del informe de Evaluación de Impacto

contenido-evaluacion-impacto

El informe final de la EIPD debe contener:

  • Una descripción general de las operaciones de tratamiento previstas.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas contempladas para hacer frente a los riesgos y amenazas.
  • Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Existen también otros contenidos adicionales que pueden incluirse en el informe de EIPD como:

  • Referencia a posibles Códigos de Conducta aplicables (una herramienta muy útil para la autorregulación de sectores de actividad concretos).
  • Opinión de los interesados o de sus representantes, sin perjuicio de la protección de intereses públicos o comerciales o la seguridad del tratamiento.

Descárgate la guía, y pregúntame tus dudas, y entre todos, conseguiremos hacer de tu negocio un proyecto más seguro, y menos peligroso para tu bolsillo.

Nueva Guía AEPD

La AEPD ha publicado una nueva guía sobre Evaluación de Impacto en la Protección de Datos según el RGPD. El objetivo es promover una cultura proactiva de la privacidad, proporcionando un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez, contribuya a fortalecer la protección eficaz de los derechos de las personas.

Para más información, puedes ver también la Guía publicada por el INCIBE, Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario.

Precio de una Evaluación de Impacto

Las tarifas para elaborar una EIPD son muy diversas al depender de varios factores como la dimensión de la organización, si la Evaluación es de un producto o servicio concreto o se refiere a toda la organización, etc.

Establecer el precio “justo” de un informe de Evaluación de Impacto es en ocasiones una difícil tarea para los consultores, más aún cuando sabemos que el promotor del proyecto está soportando multitud de gastos para iniciar su actividad y que el Estudio de Evaluación de Impacto supone un gasto y tiempo con el que en ocasiones no contaba.

El establecimiento del coste y posterior precio final del informe de Evaluación de Impacto en Protección de Datos suele hacerse de forma interna en función de los días y recursos que supondrá la elaboración de la planificación, el trabajo de campo, número de especialidades profesionales implicadas y el posterior trabajo de gabinete.

Así, aunque el proyecto o plan posea una gran magnitud o se esperen de él importantes beneficios, el precio de la EIPD debe ser independiente a ello y debe quedar supeditado sólo a factores objetivos e intrínsecos a la naturaleza del proyecto o plan.

De todo esto podemos concluir que los precios son muy variables ya que pueden ir desde los 1.000 € hasta los 20.000 €.

¿Necesitas elaborar una EIPD?

Guía AEPD sobre Evaluación de Impacto en la Protección de Datos Personales
4.9 (97.89%) 19 votos