EIPD: cómo automatizar la evaluación de impacto RGPD
La EIPD o evaluación de impacto es una de las novedades del RGPD. ¿Has identificado un riesgo en la protección de datos de tu empresa? Descubre lo que tienes qué hacer para cada uno de los tratamientos afectados.
La evaluación de impacto, también conocida como PIA - Privacy Impact Assessment - en inglés, consiste en realizar un estudio completo con el objetivo de evaluar el impacto de uno o varios tratamientos de datos en la vida privada.
Conoce los conceptos claves para la conformidad RGPD y descubre las mejores soluciones para estar en regla.
¿Qué es una EIPD?
La EIPD o evaluación de impacto sobre la protección de datos es una de las disposiciones del nuevo marco de referencia para la protección de datos en Europa o RGPD (Reglamento Europeo de Protección de Datos).
La EIPD debe describir el tratamiento y su finalidad, estimar la validez del tratamiento según la finalidad, identificar los riesgos y detallar las acciones para la gestión de los mismos.
"La realización de un análisis de impacto es altamente recomendada por las autoridades y debe iniciarse antes de poner en marcha el tratamiento de los datos".
No obstante, la evaluación de impacto RGPD debe ser mantenida y actualizada durante todo el ciclo de vida del tratamiento.
¿Por qué realizar una evaluación de impacto RGPD?
Un análisis de impacto es la mejor manera de verificar y comprobar la conformidad de un tratamiento y de prevenir un riesgo relacionado con la pérdida o exposición de los datos tratados.
La realización de una evaluación de riesgos permite a los responsables del tratamiento de los datos:
-
Determinar la causa de un riesgo y estimar las posibilidades de que se concretice;
-
Mejorar el tratamiento de datos para que se respeten los derechos de las personas;
-
Reunir las condiciones técnicas y organizacionales necesarias para el respeto del reglamento;
-
Probar la gestión de riesgos ante las autoridades.
Si bien la evaluación de impacto RGPD es recomendada para todas las empresas que colecten y gestionen datos, en muchos casos la EIPD es obligatoria y el incumplimiento de dicha disposición supone una infracción de carácter grave.
Artículo 35 RGPD: ¿en qué caso es obligatoria la evaluación de impacto?
"Establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento. Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad".
apartado 3º del artículo 35: tratamientos susceptibles de entrañar un alto riesgo
Elaboración automatizada de perfiles
a) "evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar";
Tratamiento a gran escala
b) "tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10",
Se refiere al tratamiento de datos sensibles (datos genéticos, datos relativos a la salud, datos de origen étnico y racial, datos personales relativos a condenas e infracciones penales, etc.).
Uso de tecnologías invasivas
c) "observación sistemática a gran escala de una zona de acceso público".
Videovigilancia, drones, datos biométricos.
Otros tratamientos que requieren una EIPD
-
Datos de menores de catorce años;
-
Transferencias de datos, sobre todo si se trata de una transferencia internacional a un país que no forme parte del Espacio Económico Europeo;
-
Datos personales no disociados o no anonimizados;
-
Cualquier tratamiento que incluya la colecta de datos altamente sensibles;
-
Cualquier tratamiento que incluya una colecta significativa de datos;
-
Cruce de datos, modificación de la información tratada o de la finalidad del tratamiento;
-
Tratamiento de personas vulnerables (pacientes, ancianos, niños, etc.).
EIPD ejemplo: tratamiento que requiere una evaluación
Una empresa pone en marcha un tratamiento publicitario con el objetivo de recolectar los datos de geolocalización de millones de individuos para crear perfiles publicitarios y mostrarles publicidad personalizada en función de su posición geográfica. Este tratamiento entra en la categoría de tratamientos a gran escala y de datos sensibles (geolocalización). La realización de una evaluación de impacto sobre la protección de datos es necesaria.
¿Quienes intervienen en la realización de la EIPD?
El asesoramiento del DPO en la realización de la EIPD será fundamental para evitar los riesgos.
El responsable del tratamiento es quien tiene la obligación de asegurar el cumplimiento del RGPD.
Si un DPO (Delegado de Protección de Datos) ha sido designado, este debe aconsejar al responsable del tratamiento y verificar la ejecución de la evaluación de impacto.
Si una subcontratista interviene en el tratamiento, debe proporcionar su ayuda así como las informaciones necesarias para la realización de la EIPD.
¿Hacer o no hacer la EIPD? → La AEPD y el Análisis de Riesgos son la respuesta
¿Aún no te quedado claro si alguna de las operaciones de tu empresa requiere de una evaluación de impacto? ¡No hay problema! Una vez que hayas realizado el análisis de riesgos RGPD no te quedará ninguna duda.
Si no sabes qué es un análisis de riesgos o como ejecutarlo, puedes echar un vistazo a nuestro artículo análisis de riesgos RGPD.
El objetivo de este ejercicio, de carácter obligatorio, es determinar la existencia de circunstancias que requieran posteriormente de una EIPD.
Contenido de la evaluación de impacto RGPD
La guía EIPD de la Agencia Española para Protección de Datos nos muestra con detalles la metodología a seguir para elaborar una EIPD conforme a los requerimientos del RGPD.
La evaluación se divide en 3 etapas principales:
-
Descripción (desde la captura hasta la destrucción de los datos) y contexto del tratamiento (licitud, necesidad y proporcionalidad);
-
Identificación, valoración y gestión de riesgos;
-
Conclusión (plan de acción) y validación (conclusión favorable o no favorable).
Asimismo, la AEPD recomienda que el plan de acción incluya:
-
descripción de las medidas de control,
-
responsable de implantación,
-
plazo de implantación.
También se debe señalar si la EIPD se ha realizado sobre un nuevo tratamiento o sobre un tratamiento ya existente.
-
En el 1.º caso, el plan de acción se aplicará antes de iniciar el tratamiento, este principio se conoce como protección de datos desde el diseño.
-
En el 2.º caso, el responsable del tratamiento debe establecer un un plazo para ejecutar el plan de acción sobre el tratamiento en curso. Si este tiempo no es respetado y el riesgo no es aceptable, el responsable puede, y debe, solicitar que el tratamiento sea interrumpido.
Artículo 36 RGPD: ¿consulta a la AEPD?
“El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo”
Si la conclusión de la EIPD incluye un alto riesgo, el encargado de tratamiento puede recurrir a medidas de control adicionales para disminuir el riesgo hasta un nivel aceptable. Sin embargo, si no fuese posible disminuir el riesgo, el tratamiento no podría ser efectuado y el responsable del tratamiento estará en la obligación de consultar a la Autoridad de Control.
En el mejor de los casos, la Autoridad de Control definirá las condiciones y medidas de control para que se pueda realizar el tratamiento. No obstante, si fuese el caso, la Autoridad de Control también puede indicar que en ningún caso se podrá llevar a cabo el tratamiento.
La evaluación del impacto en la protección de datos es un proceso minucioso, completo y exhaustivo en el cual se evalúan todos los aspectos del tratamiento: de principio a fin tomando en cuenta todas las variables. Afortunadamente, hoy en día existen herramientas de alto rendimiento para automatizar y optimizar procesos empresariales y obligaciones legales.
Herramientas para la evaluacion de impacto en la proteccion de datos: 2 ejemplos
Data Privacy Solution
Data Privacy Solution es una solución 100% española para la protección de datos según el marco del RGPD y la LOPDGDD. La herramienta ha sido pensada para todo tipo de empresas y consultores.
¿Cómo ayuda Data Privacy Solution con la EIPD?
Data Privacy Solution permite generar y gestionar las EIPD por múltiples usuarios, incluyendo el DPO para su revisión. Gracias al modelo SaaS, el DPO y todos los usuarios tienen acceso desde cualquier lugar y en cualquier momento.
Este software RGPD indica si para un tratamiento de datos, es suficiente con el análisis de riesgos, o requiere que se realice la EIPD. Además, aunque solo se necesite el análisis de riesgos, el usuario puede elegir hacer también el tratamiento de riesgos o incluso toda la EIPD.
Tanto el análisis de riesgos como el EIPD están basados en las guías y buenas prácticas de la AEPD (Agencia española de protección de datos).
Abogados especializados en privacidad e ingenieros expertos en seguridad de la información son los responsables de la creación de la completa herramienta.
Data Privacy Solution
Smart GDPR
La solución en línea (SaaS) Smart GDPR responde a todas las exigencias del reglamento europeo.
30 años de experiencia en materia de protección de datos, de seguridad de la información y de respeto de la vida privada respaldan la legitimidad de Smart GDPR como una de las mejores soluciones RGPD.
Hasta la fecha, Smart GDPR reúne todos los recursos necesarios para el cumplimiento del RGPD ¡en una sola plataforma!
¿Cómo hacer una evaluación de impacto con Smart GDPR?
Smart GDPR ofrece un módulo que facilita la evaluación de riesgos RGPD El módulo uno está completamente dedicado a:
-
Auditorías.
-
Análisis de riesgos.
-
Evaluación de impactos (PIA).
-
Planes de acción semiautomatizados.
-
Gestión de proyectos.
El módulo cuenta con 1460 puntos de control de tratamientos ejecutados por un algoritmo. Por consiguiente, el ahorro de tiempo es considerable y los resultados son precisos. Smart GDPR realiza en una hora lo que normalmente tomaría unas cinco.
El plan de acción es generado automáticamente (en función de las respuestas) acompañado de una lista detallada con las medidas de control a instaurar.
A cada respuesta se le asigna una puntuación automática. En caso de una puntuación inferior a la media, la respuesta debe ser sistemáticamente examinada por el responsable del tratamiento o el por DPO. También puedes señalar si deseas examinar todas las respuestas.
El + de Smart GDPR: cubre un riesgo financiero de hasta 90 millones de euros en caso de algún fallo de su parte.
Automatización del proceso de evaluación
Las herramientas digitales, las legislaciones para la protección de datos y los procesos de negocios evolucionan constantemente, implementar una solución SaaS te permitirá estar al día con tus obligaciones.
Después de haber estudiado traducción e interpretación en la Universidad Central de Venezuela, Anaraya obtiene una licencia en lenguas, literaturas y civilizaciones extranjeras en la Universidad de la Sorbona en Paris IV y un Máster en Turismo Cultural en la Universidad de Lorraine con un año de intercambio en la Universidad de Barcelona. Después de una larga experiencia como profesora de español, incursiona en el mundo del marketing digital gracias a la redacción web para agencias de viajes en España. He aquí el principio de una nueva pasión y de una hermosa aventura: el SEO y el webmarketing.