Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.

Fases para la Evaluación de Impacto en Protección de Datos

1. Análisis de la necesidad

En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.

2. Descripción del proyecto

En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.

Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.

3. Definir los riesgos

Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:

–          Los que afectan a personas: riesgos que puedan vulnerar sus derechos.

–          Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.

4. Gestión de los riesgos

Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.

5. Analizar el cumplimiento de la norma

En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.

6. Creación del informe final

En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.

7. Implantar recomendaciones

Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.

8. Revisión constante

Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

La propia Agencia Española de Protección de Datos (AEPD) ha diseñado un manual, disponible online, para llevar a cabo una Evaluación de Impacto (EIPD) consensuada y acertada. La base de esta necesidad radica en los cambios a los que nos enfrentamos, con la alta participación de las nuevas tecnologías en la vida cotidiana. Los datos de carácter personal alcanzan valores económicos nunca antes vistos y esto obliga a las empresas e instituciones a no salirse ni un ápice del marco legal establecido.

Definición de la Evaluación de Impacto en Protección de Datos

Para dejar claro qué es esto de la Evaluación de Impacto es interesante comenzar por definir el concepto. Según la propia AEPD, se trata de un análisis exhaustivo de los riesgos que puede aportar un servicio o producto en cuanto a la protección de datos personales de los usuarios. Pero la cosa no queda ahí, ya que además de analizar ese impacto es importante crear tips para una gestión óptima, que permitan identificar los riesgos y tomar las medidas oportunas para eliminarlos de raíz.

Una de las ventajas de realizar una EIPD radica en el ahorro económico. Obviamente, realizar la Evaluación de Impacto previa evitará tener que realizar un proceso tedioso sobre un negocio ya creado. Además, en el marco del nuevo Reglamento europeo de Protección de Datos esto es obligatorio, por lo que anticiparse puede evitar sanciones y multas por parte de la AEPD.

La obligación de realizar una EIPD

El artículo 35 del famoso Reglamento Europeo, de obligada aplicación en toda la UE, habla precisamente de esta obligación de realizar una Evaluación de Impacto en Protección de Datos personales. Pero, ¿quién está obligado a ello? Bien, pues cualquier empresa o negocio que cuente con un tratamiento de los datos que presenten un riesgo elevado en cuanto a derechos y libertades de las personas.

El responsable de tratamiento, en colaboración con el delegado de protección de datos, será el encargado de realizar esta EIPD y garantizar las gestiones oportunas para salvaguardar los datos personales. Además, uno de los puntos clave es la obligatoriedad de seguir un sistema de observación de forma constante, que garantice que los datos están debidamente protegidos.

El resultado final de la Evaluación de Impacto debe de ser un completo documento en el que se detallen todas las especificidades exigidas por el nuevo reglamento, que la AEPD apoya completamente. Este documento debe de distribuirse y publicitarse para que los usuarios tengan pleno conocimiento del tratamiento que se dará a sus datos personales.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.