La AEPD ha presentado hoy una nueva herramienta para ayudar a empresas y autónomos con el cumplimiento de la normativa de Protección de datos. Se llama Gestiona EIPD y a través de ella es posible realizar análisis de riesgos y evaluaciones de impacto en los casos en los que se traten datos considerados como especialmente protegidos, como los referidos a la salud.

El RGPD no exige que se realicen evaluaciones de impacto de todos los tratamientos de datos, sino solo de aquellos que puedan suponer un riesgo específico para las libertades y derechos de los afectados.

Esta herramienta de la AEPD completa otras anteriores como Facilita RGPD, dirigida a autónomos y pymes que traten datos no considerados como sensibles.

Vamos a analizar esta nueva herramienta.

Gestiona EIPD

Las evaluaciones de impacto en Protección de datos (EIPD) son aquellos mecanismos a través de los cuales es posible analizar de forma previa los posibles riesgos que pueden surgir de los tratamiento de datos que vamos a realizar. Es decir, en primer lugar debemos analizar los riesgos existentes en cada uno de los tratamientos de datos y, en función de esos riesgos, realizar una Evaluación de impacto para determinar la manera en la que cada uno de esos riesgos puede afectar a los datos personales.

Para evitar el impacto de esos riesgos en los datos personales debemos aplicar una serie de medidas de seguridad, tanto técnicas como organizativas.

Por tanto, a través de la EIPD podemos concretar los riesgos a los que están expuestos los tratamientos que realizamos y aplicar los controles necesarios para impedir que esos riesgos se produzcan o para reducirlos a los mínimos posibles.

Con esta herramienta gratuita, la AEPD pretende ayudar a empresas y Administraciones públicas en la realización de esas evaluaciones de impacto a través de un cuestionario donde se establecen los aspectos a tener en cuenta por los responsables y encargados del tratamiento. También sirve de ayuda a aquellas pymes que realicen tratamientos de datos personales incluidos en el listado elaborado por la AEPD de tratamientos en los que es obligatorio realizar una EIPD.

A través de Gestiona EIPD es posible realizar un análisis de riesgos y una evaluación de impacto. Con los datos que proporcione el responsable o encargado del tratamiento se podrá obtener el correspondiente informe. Se establecen los requisitos exigidos por la normativa aplicable para gestionar adecuadamente los riesgos existentes y aplicar las correctas medidas de seguridad.

Análisis de riesgos

Gestiona EIPD establece la opción de realizar un análisis de riesgos de cada tratamiento realizado.

Dentro de esta opción existen varios apartados:

  • Ciclo de vida de los datos
    • Captura de los datos: a través de qué medios se recogen los datos, quién los recoge, qué tipo de datos se recopilan y las tecnologías usadas en esa recopilación.
    • Clasificación / Almacenamiento: actividades de almacenamiento, tipos de datos almacenados, intervinientes en ese almacenamiento y tecnologías aplicadas.
    • Uso / Tratamiento: actividades de tratamiento realizadas, intervinientes en ese tratamiento, clases de datos tratados y tecnologías usadas.
    • Cesión o transferencia de datos a terceros: actividades de transferencia, intervinientes, tipos de datos transferidos y tecnologías utilizadas.
    • Destrucción: procesos de destrucción, tipos de datos destruidos, intervinientes y tecnologías utilizadas.
  • Identificación de riesgos: en este apartado se establece una lista de amenazas posibles con la opción de marcar Sí o No, según la posibilidad existente de que esas amenazas se materialicen en ese tratamiento de datos.
  • Gestión de riesgos: en este apartado, según los riesgos que hayamos señalado, se indicarán las posibles medidas de control asociadas a cada uno de ellos. Aquí debemos seleccionar aquellas medidas que sean necesarias para reducir el riesgo de la amenaza. Además, seleccionaremos la probabilidad y el impacto de que ocurra dicha amenaza. Una vez seleccionadas las medidas de control, analizaremos la probabilidad y el impacto calculando nuevamente el riesgo residual. Este proceso es necesario realizarlo para cada una de las amenazas seleccionadas. Finalmente se mostrará el resultado Aceptable o No Aceptable de dicha gestión de riesgos que deberá ser validado por el responsable.
  • Resultados finales: en este último apartado se establecen las siguientes opciones:
    • Generar informe de riesgos: nos proporciona un informe según el resultado del análisis de riesgos realizado.
    • Generar informe final: proporciona un documento con el que podemos iniciar la identificación y gestión de los riesgos detectados en el tratamiento de datos personales para elaborar un plan de acción con las medidas adecuadas de control.
    • Mitigar: con esta opción podemos revisar los riesgos identificados y realizar una nueva evaluación de ellos.
    • Terminar: al elegir esta opción se finaliza el análisis de riesgos y se borran los datos del navegador.

Evaluación de impacto

Con Gestiona EIPD podemos realizar una evaluación de impacto. Los apartados que nos encontramos son los siguientes:

  • Análisis de la necesidad de realizar una EIPD
    • Tipos de operaciones específicamente considerados por la Autoridad de control
    • Sensibilidad de los datos
    • Finalidades del tratamiento: si se van a tratar datos de menores o discapacitados, se van a elaborar perfiles o establecer comportamientos o preferencias de personas, se tratan datos de morosidad, si el tratamiento implica a un elevado número de personas, etc.
    • Tecnologías utilizadas para el tratamiento
    • Encargados de tratamiento, cesiones de datos y transferencias internacionales de datos
    • Percepción del riesgo por el responsable del tratamiento y DPO
    • Base jurídica del tratamiento
  • Ciclo de vida de los datos
    • Recogida de los datos
    • Almacenamiento
    • Uso
    • Cesión o transferencia a un tercero
    • Destrucción
  • Análisis de la necesidad y proporcionalidad del tratamiento
    • Legitimación
    • Evaluación de la necesidad y proporcionalidad de las operaciones de Tratamiento
  • Identificación de riesgos
  • Gestión de riesgos
  • Resultados EIPD. Existen las siguientes opciones:
    • Reducir o revisar de nuevo los riesgos residuales en caso de no obtener un resultado “aceptable”
    • Generar el informe de riesgos para continuar con la evaluación de impacto del tratamiento
    • Obtener el informe final para continuar identificando riesgos y salvaguardas del tratamiento
    • Terminar para salir de la aplicación y eliminar la información almacenada en el ordenador

Aquí tienes el resumen de Gestiona EIPD que puede resultarte muy útil a la hora de cumplir la normativa de Protección de datos en tu empresa. Y si tienes cualquier duda estaré encantada de ayudarte.

Gestiona EIPD, Herramienta de la AEPD para analizar riesgos
4.5 (90%) 6 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.