Con la antigua LOPD si en el desarrollo de su actividad, trataba datos de nivel de seguridad medio (por ejemplo, antecedentes penales) o alto (como salud o religión), se exigía realizar una Auditoria  bianual obligatoria, por parte de una entidad externa a la empresa.

Despachos de abogados, gabinetes de psicología o logopedia, clínicas de todo tipo (dentistas, podólogos, fisioterapia…), etc.

Este tipo de actividades, por norma general, estaban sujetas a realizar la auditoria de protección de datos cada 2 años.

Con la entrada en vigor de del RGPD, las auditorias y los niveles de seguridad (básico, medio y alto) desaparecen.

Sin embargo, esta figura ha sido sustituida por una evaluación de impacto (EIPD).

Un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan.

Como resultado de ese análisis, la gestión de riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad.

Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad).

De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves.

Finalidad de una EIPD

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

En consecuencia, las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) de la propia evaluación de impacto.

Las evaluaciones de impacto  se deben realizar una sola vez, antes del comienzo de la actividad (o antes de la adaptación al RGPD, si la actividad ya ha comenzado), y únicamente en determinados casos.

El RGPD no especifica exactamente qué tipo de empresas deben pasarla, sino que da unas directrices para que cada país decida.

¿Cuándo debe realizarse una Evaluación de Impacto?

Es recomendable que en el momento de realizar un nuevo tratamiento se analicen los posibles riesgos que puede entrañar el mismo.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD.

Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

No obstante, la nueva regulación europea establece que la EIPD  es obligatoria cuando se dé:

  • Alto riesgo
  • Evaluación sistemática
  • Tratamiento a gran escala de datos especialmente protegidos
  • Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

Incluimos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Siempre que se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

  • Videovigilancia a gran escala
  • Aeronaves no tripuladas (drones)
  • Vigilancia electrónica
  • Minería de datos
  • Biometría
  • Técnicas genéticas
  • Geolocalización
Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

  • Farmacéuticas
  • Hospitales y clínicas
  • Seguridad privada, vigilancia y control
  • Comercializadoras de energía
  • Empresas que realicen e-commerce
  • Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.

Tarifas

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Consúltenos en el teléfono 962915025 o en el correo electrónico protecciondatoscertificado@gmail.com,  para que podamos darle una información más precisa.