Avaluació d’impacte en Protecció de Dades II: Fases
En el primer lliurament sobre la Avaluació d’Impacte en Protecció de Dades (EIPD) ens dediquem a definir el concepte i les claus bàsiques per dur-la a terme. Avui anem a endinsar-nos una mica més davant la obligatorietat d’establir una EIPD adequada per a les empreses o organitzacions.
Les fases de l’Avaluació d’Impacte en Protecció de Dades són diverses. En primer lloc, cal tenir en compte quins aspectes hem de tractar i com arribar-hi. En el document que la AEPD ha establert per orientar les empreses sobre aquesta EIPD es poden llegir totes les claus per crear una avaluació d’impacte òptima. No obstant això, aquí anem a repassar els aspectes fonamentals.
Fases per a l’Avaluació d’Impacte en Protecció de Dades
-
Anàlisi de la necessitat
A la lliurament anterior sobre EIPD especifiquem quines empreses o organitzacions han de acollir-se a l’Avaluació d’Impacte en Protecció de Dades. En aquesta fase inicial cal realitzar una petita reflexió per tenir clara la necessitat de comptar amb una EIPD. En el cas que el tractament de les dades no sigui massiu o l’empresa no necessiti explotar les dades de tercers, és possible que l’avaluació d’impacte no hagi de ser tan exhaustiva.
-
Descripció del projecte
En una segona instància és important comprovar quins són els riscos que podran en escac la privacitat de les dades de tercers. Aquí cal estudiar bé els objectius del negoci, qui seran actors implicats , què categories de dades es tracten, les tecnologies que es fan servir per a això i les comunicacions amb tercers, entre d’altres aspectes.
Una descripció detallada dels riscs és fonamental per tenir clars els aspectes que afectaran a la privacitat.
-
Definir els riscos
Amb la informació aportada en la fase anterior, és el moment d’identificar clarament els riscos en el tractament de les dades als quals s’exposa l’empresa. Segons el document que presenta l’AEPD , aquests riscos poden ser de dos tipus:
– Els que afecten persones : riscos que puguin vulnerar els seus drets.
– Els que afecten la empresa : aquells que es deriven de no implementar una correcta política de protecció de dades, en funció del que dicta la legalitat vigent.
-
Gestió dels riscos
Després d’identificar els riscos, el pas següent per garantir la correcta avaluació d’impacte en Protecció de Dades, serà la gestió dels mateixos. Per a això és imprescindible recórrer a consultes internes i externes amb els actors implicats. Després d’això caldrà determinar quins tipus de controls i mesures es van a implementar.
-
Analitzar el compliment de la norma
En aquesta fase de la EIPD cal verificar que tot el contingut que s’està desenvolupant compleix degudament amb la legalitat . En aquest punt cal tenir en compte el sector per al qual s’està creant l’avaluació d’impacte, ja que és possible que els requisits legals pel que fa al tractament de dades siguin de major o menor nivell.
-
Creació de l’informe final
En aquest informe cal detallar degudament els riscos que s’han trobat, així com les recomanacions perquè la seva gestió i eliminació sigui dràstica. Aquest informe s’ha d’enviar a l’adreça de l’empresa o organització. A més, la difusió , total o parcial, és important.
-
Implantar recomanacions
Després que la direcció de l’empresa hagi revisat completament l’informe elaborat, haurà de prendre les mesures oportunes per al seu compliment. A més, és fonamental que designi a responsable de l’avaluació d’impacte , perquè garanteixi el compliment de tot el detallat en l’informe final.
-
Revisió constant
Després tot el procés de l’Avaluació d’Impacte, cal analitzar degudament el resultat final . D’aquesta manera es podrà comprovar l’efectivitat de tot el treball, així com si han aparegut riscos nous . L’actualització constant d’aquesta EIPD és fonamental per garantir la protecció de dades de tercers.
* Avís legal: aquest article és propietat en exclusiva de TecnoLOPD. No està permesa la seva reproducció total o parcial sense el consentiment previ del propietari.