Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD

Posted on 0 comentarios

Autor: La Agencia Española de Protección de Datos (AEPD)
Fecha de publicación o de alta: Marzo 2018
Comentarios:

El próximo 25 de mayo de 2018 será directamente aplicable el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante, RGPD. Por tanto, a partir del 25 de mayo de 2018 será obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable del tratamiento que este incluye, entre las que destaca, la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de los datos personales siempre y cuando sea probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas.

La aplicación del RGPD no debe entenderse como la necesaria obligación de realizar la evaluación de impacto de todos los tratamientos que hasta la fecha se vinieran realizando sino que será necesario atender a las especificidades concretas de cada tratamiento.

La reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos hacia un modelo más dinámico, adaptado a la profunda transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento.

Adicionalmente, el RGPD refuerza el principio de responsabilidad proactiva (“accountability”) de quienes tratan datos personales, lo que requiere que estos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de tratamientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir con lo dispuesto en el RGPD. La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD) es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.

El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable. El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

Ello implica que el mandato del Reglamento no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que comience a ser de aplicación. Sin embargo, sí debiera realizarse una Evaluación cuando en una operación iniciada con anterioridad a la aplicación del Reglamento se hayan producido cambios en los riesgos que el tratamiento implica en relación con el momento en que el tratamiento se puso en marcha.

Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, o de que se estén recogiendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento.

La Evaluación de Impacto es un proceso que no se agota cuando se ha finalizado. Los responsables, y así lo señala el propio RGPD, deberían revisar si los tratamientos siguen siendo conformes con la Evaluación a la que hubieran sido sometidos y, en todo caso, hacerlo cuando exista un cambio del riesgo del tratamiento.

La AEPD ha elaborado la presente Guía para la Evaluación de Impacto en la Protección de los Datos Personales con el objetivo de promover una cultura proactiva de la privacidad, proporcionando un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez, contribuya a fortalecer la protección eficaz de los derechos de las personas.

Esta Guía ofrece directrices y orientaciones de cómo definir y establecer una metodología para la realización de una EIPD, sin embargo, no pretende ser la única manera en que puede llevarse a efecto una EIPD. Las organizaciones que tengan ya implantados procesos y herramientas de análisis de riesgos pueden utilizarlas para evaluar los relativos a la privacidad y la protección de datos siempre que cubran los aspectos esenciales que toda Evaluación de Impacto en la Protección de Datos debe tener, respetando los requerimientos del RGPD.

Sigue toda la actualidad con Club de Innovación:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *