En la primera entrega sobre la Evaluación de Impacto en Protección de Datos (EIPD) nos dedicamos a definir el concepto y las claves básicas para llevarla a cabo. Hoy vamos a adentrarnos un poco más ante la obligatoriedad de establecer una EIPD adecuada para las empresas u organizaciones.
Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.
Fases para la Evaluación de Impacto en Protección de Datos
-
Análisis de la necesidad
En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.
-
Descripción del proyecto
En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.
Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.
-
Definir los riesgos
Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:
– Los que afectan a personas: riesgos que puedan vulnerar sus derechos.
– Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.
-
Gestión de los riesgos
Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.
-
Analizar el cumplimiento de la norma
En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.
-
Creación del informe final
En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.
-
Implantar recomendaciones
Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.
-
Revisión constante
Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.
*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.