Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como 

“aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

Fases para la gestión de brechas de seguridad

A continuación vamos a resumir las fases que el responsable de tratamiento debe tener en cuenta para la correcta gestión de las brechas de seguridad.

1º Fase de preparación para responder ante las brechas de seguridad.

Se realizará un análisis de riesgo o evaluación de impacto, en caso de ser necesario, para aplicar las medidas técnicas y organizativas adecuadas, para poder afrontar un incidente de seguridad y tener una efectiva capacidad de respuesta.

Se definirán los planes de respuesta a los incidentes de seguridad.

2º Fase de detección e identificación de las brechas de seguridad.

El responsable o encargado del tratamiento detectarán el incumplimiento o vulneración de las medidas de seguridad a que da lugar la brecha de seguridad.

La identificación del incidente de seguridad se hará sobre el análisis de las siguientes fuentes de información:

• Internas: medios internos de la empresa para mantener la seguridad.
• Externas: comunicación del incidente por terceras personas.

3º Fase de Registro de las brechas de seguridad.

La entidad debe mantener un registro de incidencias debidamente documentado, que contenga:

• Tipo de incidente.
• Descripción del incidente.
• Nivel de Gravedad.
• Medidas adoptadas para su resolución.

4º Fase de Clasificación y Valoración

Determinar la clasificación de la brecha de seguridad que podrá ser:

• Confidencialidad.
• Integridad.
• Disponibilidad.

Valorar la peligrosidad del incidente y la magnitud del impacto en los individuos.

Recurriremos para ello al análisis de riesgos o evaluación de impacto realizado previamente.

Para clasificar la peligrosidad de un incidente seguiremos las directrices proporcionadas por la AEPD:

• La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados: (Crítico, Muy Alto, Alto, Medio, Bajo).
• Naturaleza, sensibilidad y categorías de los datos personales afectados: (Datos de escaso riesgo, Datos de comportamiento, Datos financieros, Datos sensibles).
• Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización.
• Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).
• Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha.
• Severidad de las consecuencias para los individuos: (Baja, Media, Alta, Muy Alta).
• Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades especiales.
• Número de individuos afectados: Dentro de una escala determinada, por ejemplo, más de 100 individuos.
• Características especiales del responsable del tratamiento: En base a la actividad de la entidad.
• El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
• El número y tipología de los sistemas afectados.
• El impacto que la brecha puede tener en la organización: (Bajo, Medio, Alto).

5º Fase de notificación

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.

¿Quién debe notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.

¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.

Plazo

• ¿Existe un plazo determinado?
• Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
• El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

Contenido mínimo de la notificación

• La naturaleza de la violación, categorías de datos y de interesados afectados.
• medidas impuestas por el responsable para resolver esa quiebra.
• si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

Registro Electrónico

• La AEPD dispone de un registro,  mediante el cual electrónicamente, y siguiendo unos sencillos pasos, se puede notificar ante la misma la brecha de seguridad.
• En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.

Notificar a las personas afectadas la brecha de seguridad

Con el nuevo principio de accountabilty, la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida, la brecha de seguridad.

No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

• El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.
• Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
• Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación publica.

¿Puedo usar la misma notificación para la AEPD y para el interesado?

• No.
• La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
• A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.

¿Tengo que notificar siempre la brecha de seguridad?

Sí y no.

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas.

Los casos donde no habría obligación de comunicar estas brechas son:

• Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
• Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
• Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

La entrada BRECHAS DE SEGURIDAD se publicó primero en Gestiona Abogados.

Los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.

El robo o mal uso de un dado biométrico es potencialmente irreversible:

Una contraseña vulnerada puede ser cambiada por otra de mayor seguridad, pero si los delincuentes informáticos atacaran la base de datos del sistema de reconocimiento facial, accediendo a los registros de los clientes, una persona no podría cambiar su rostro por otro.

¿Cuáles son los datos biométricos?

Según las características individuales que recogen, se diferencian dos grupos:

1. Características físicas y fisiológicas

Huella dactilar

Tiene importantes ventajas como su bajo coste de implantación y su sencilla adaptación. Además tiene un elevado índice de precisión.

Hay dos métodos principales para recoger las huellas dactilares:

“Basado en minucias”: a través de este se identifican las formas de la huella dactilar y su ubicación dentro de ella

“Basado en correlación”, aquí se examina la huella dactilar de manera integral

Reconocimiento facial

Los sistemas de reconocimiento facial hacen posible la identificación de una persona mediante un análisis de las características biométricas de su rostro.

El rostro se analizará por determinados programas de cálculo que lo comparan con la fotografía o imagen obtenida anteriormente.

Una de las ventajas de este sistema es que es muy poco intrusivo y casi no se exige participación del usuario.

Los sistemas de reconocimiento facial existentes son:

• Geométricos: tienen en cuenta los rasgos faciales del individuo: ojos, nariz, boca, etc. También usan evaluaciones de los ángulos de la cara y cálculos de distancias entre los distintos rasgos
• Fotométricos, proporcionan información de manera global, del rostro completo
• Mixtos, estos añaden elementos de los dos anteriores

Es importante tener en cuenta las consecuencias que la edad produce en los rostros. Y los cambios que pueden sufrir las personas llevando lentes de visión, con el vello facial, etc.

Reconocimiento de iris

El reconocimiento del iris es la técnica de identificación más fiable ya que el iris de las personas no cambia con el tiempo.

Para ese reconocimiento se utiliza una cámara de infrarrojos, que hace una fotografía al ojo, y a través de ella se obtienen los detalles del iris.

Como inconvenientes de este sistema cabe destacar que se trata de una tecnología muy costosa y es necesaria una cooperación por parte de la persona.

Geometría de la mano

Este reconocimiento se basa en la captura de una imagen en 3D de la mano de la persona. A través de ella se van a obtener todos los detalles posibles. Por ejemplo las medidas de la mano, su estructura ósea, o la longitud y grosor de los dedos.

Esta técnica puede no ser muy fiable en el caso de que la persona sufra alguna lesión en la mano.

Reconocimiento de retina

El reconocimiento de retina es un buen sistema biométrico de identificación, ya que la retina, al igual que la huella dactilar, es única en cada persona.

A través de una cámara de infrarrojos se escanea la retina.

Esta técnica dificulta la suplantación de identidad pero se considera más invasivo que el reconocimiento del iris.

Reconocimiento vascular

Esta técnica biométrica consiste en el estudio de la geometría del árbol de venas del dedo o de las muñecas.

El formato de las venas es capturado a través de un proceso de diferencia de absorción de haces de luz del espectro infrarrojo. Similar a la que usan las cámaras de circuito cerrado de televisión para su visualización en ambientes sin luz visible.

Esta técnica tiene la ventaja de hacer muy difícil el robo de identidad, pero también se trata de una técnica muy costosa.

2. Características del comportamiento y la personalidad

Reconocimiento de firma

El reconocimiento de firma es el sistema más utilizado en el mundo como método de autentificación.

A través de este sistema se examina la firma. Para ello pueden usarse los siguientes métodos:

• Cotejo simple (parecido entre dos firmas)
• Prueba dinámica (se estudia la forma y velocidad)

Reconocimiento de escritura

Para el reconocimiento de escritura se utiliza un determinado software mediante el que se realiza un reconocimiento óptico de los caracteres (OCR).

Existen dos tipos de reconocimientos: estático y dinámico.

Reconocimiento de voz

Para el reconocimiento de voz se utilizan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación de esa persona.

Un inconveniente importante a tener en cuenta en este método de identificación es la influencia de factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Este tipo de reconocimiento analizará los siguientes elementos:

• La energía con la que la persona teclea
• El tiempo de pulsación
• El tiempo transcurrido entre dos pulsaciones de teclado

Reconocimiento de la forma de andar

Este sistema consiste en examinar la forma de caminar de la persona utilizando almohadillas especiales en el suelo y una cámara de alta resolución.

Esa cámara de alta definición medirá el reparto del peso, la rapidez de pasos y la manera de andar.

Otros tipos de reconocimientos biométricos

También hay otros reconocimientos para identificar a las personas como lo son:

• el estudio de la palma de la mano
• la forma de las orejas
• el ADN
• la piel

¿Quiénes están obligados a proteger los datos personales en el uso de los datos biométricos?

La regulación en protección de datos personales estipula que son dos los actores obligados a la protección de los datos personales:

• el responsable, que es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales;
• el encargado, que es un tercero, persona física o moral, que trata con los datos personales a cargo y por cuenta del responsable.

¿Cuáles son los derechos del titular de los datos biométricos?

Acceso:

Toda persona tiene derecho a acceder a sus datos cuando obren en poder de un particular o empresa que traten con ellos.

Rectificación:

El titular de los datos tiene derecho a corregirlos cuando sean incorrectos, estén desactualizados o sean inexactos.

Supresión:

El titular tiene derecho a solicitar en todo momento la eliminación de su información de las bases de datos, archivos, registros, expedientes y sistemas del responsable, a fin de que ya no sean tratados por el mismo. Esta eliminación puede no ser inmediata, cuando las autoridades dispuesto la conservación de los datos por un periodo determinado. Tras el cumplimiento del plazo estipulado, los datos deberán ser eliminados.

Oposición:

Las personas podrán oponerse al tratamiento de sus datos personales por parte del responsable cuando considere que esto le ocasionará un daño o prejuicio o no quiera que su información sea usada para fines específicos.

Conocimiento de la existencia de decisiones automatizadas y elaboración de perfiles

El titular podrá oponerse también al tratamiento automatizado de sus datos con la finalidad de evaluar de determinados aspectos personales o analizar o predecir su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

Oposición

Los titulares su derecho a revocar el consentimiento otorgado previamente para el tratamiento de su información personal, en cualquier fase del tratamiento, sin que se le atribuyan efectos retroactivos.

Los datos biométricos son datos sensibles

Ante la alta sensibilidad de los datos biométricos, los expertos recomiendan evaluar la pertinencia de su uso como medio de acceso a información.

El criterio de evaluación recomendado es:

Si los datos biométricos usados en un sistema de autenticación son más sensibles que la información a la que dan acceso, es mejor el uso de los medios tradicionales, como contraseñas.

Evaluación de impacto en el uso de datos biométricos

Todo tratamiento de datos personales que puede suponer un alto riesgo (con especial atención a las nuevas tecnologías) para los derechos y libertades de los interesados, implica la obligación de realizar una evaluación de impacto.

El dato biométrico está protegido especialmente al ser un elemento de identificación único de la persona indeleble e inmutable (facciones de la cara o la huella digital).

Aunque el tratamiento de datos biométricos, por sí solo,  no representa necesariamente un alto riesgo que obligue a realizar una evaluación de impacto, sí será obligatoria la evaluación de impacto cuando se realice conjuntamente con alguno más de los siguientes:

• Control laboral 
• Geolocalización 
• Datos genéticos
• Nuevas tecnologías 
• Tratamientos “invisibles” para el interesado
• Tratamiento de datos de niños u otras personas vulnerables.

No olvidemos tampoco que el tratamiento de datos debe ser legítimo.

¿La autenticación mediante datos biométricos es segura?

Las técnicas actuales ofrecen seguridad efectiva frente a las violaciones o filtraciones de estos datos, pero los avances en inteligencia artificial harán que pronto estas protecciones sean algo obsoleto.

Por ello, a menos que esos datos biométricos estén completamente seguros, el robo de estos podría comprometer seriamente la privacidad de los individuos.

¿Cómo se podrían comprometer los datos biométricos?

La huella digital o bien el escaneo facial almacenados en la base de datos podrían ser reemplazados por un ciberdelincuente para obtener acceso no autorizado a un sistema.

Se podría crear una copia física de la huella dactilar o del rostro a partir de los datos almacenados para obtener acceso no autorizado a un sistema, utilizando cualquier material —incluso plastilina—.

Los datos robados podrían reutilizarse para obtener acceso no autorizado a un sistema.

Un ciberdelincuente puede utilizar los datos robados para rastrear ilegalmente a una persona de un sistema a otro.

Medidas de protección de los datos biométricos

Se están investigando dos medidas de protección para evitar estos peligros: la biometría cancelable y los criptosistemas biométricos.

Biometría cancelable

Consiste en utilizar funciones matemáticas complejas para transformar los datos originales de manera irreversible: es imposible reconstruir la huella digital o la cara a partir de los datos almacenados.

Además, ante una brecha de seguridad se borran todos los registros, de manera que no queda ni rastro de los datos originales.

Criptosistemas biométricos

Se combinan los datos biométricos almacenados con una clave, formando una caja negra en la que se «guardan» los datos.

Al desbloquear esa caja, la clave se elimina.

Son solo propuestas, pero la realidad es que hay que seguir investigando para proteger los datos biométricos por su importancia en la seguridad personal y, a la vez, por el enorme riesgo al que nos exponemos, si dichos datos son robados.

La entrada LOS DATOS BIOMÉTRICOS se publicó primero en Gestiona Abogados.

¿ES NECESARIA LA EVALUACIÓN DE IMPACTO EN VIDEOVIGILANCIA?

En algunos casos SI. Por ejemplo:

• Cuando el sistema de videovigilancia emplee una nueva tecnología que pueda entrañar un alto riesgo (como, por ejemplo, la utilización de drones o el tratamiento de datos biométricos como el reconocimiento facial)
• El responsable pretenda realizar una observación sistemática a gran escala de una zona de acceso público (como pueden ser plazas, calles, grandes centros comerciales, aeropuertos o estaciones de tren, etc.). 

Para saber si es necesario realizar una Evaluación de Impacto en los sistemas de videovigilancia, el RGPD establece una serie de directrices, que tratan de conseguir una mayor proactividad por parte de los responsables del tratamiento de datos.

Y para ello, junto con el registro de actividades de tratamiento, debemos analizar el nivel de riesgo que los tratamientos de datos personales (en este caso, la captación o grabación de imágenes de personas físicas), implican para los afectados.

Sobretodo, es recomendable que el resultado del análisis de riesgos conste por escrito.

Por supuesto, y para el caso de que se aprecie un riesgo muy elevado, debe realizarse también una evaluación de impacto en materia de protección de datos personales.

En consecuencia, este protocolo adicional nos permitirá establecer las medidas de seguridad más adecuadas para el tratamiento de la imagen física, a través de sistemas de videovigilancia.

EVALUACIÓN DE IMPACTO

El Surveillance Camera Commissioner (órgano consultivo británico que asesora en materia de videovigilancia) ha publicado una plantilla para que las organizaciones británicas puedan llevar a cabo las evaluaciones de impacto en la protección de los datos de sus sistemas de videovigilancia. 

Sin duda, de dicho documento, resultan útiles las preguntas que los responsables del tratamiento deben responder, y que pueden aplicarse a cualquier evaluación de impacto que verse sobre un sistema de videovigilancia:

¿Qué problema o incidencia se pretende resolver? 

Detallar el problema que necesita ser prevenido o mitigado (por ejemplo, aumento de la criminalidad y robos en la zona) y demostrar la existencia de éste (mediante estadísticas de delincuencia, artículos de periódicos, estudios, etc.). 

¿Cómo puede el sistema mitigar, de forma realista, los riesgos derivados del problema planteado? 

Manifestar las razones por las cuales el empleo de videocámaras reducirá, en la práctica, los riesgos. 

¿Se ha tomado en consideración otras medidas alternativas menos intrusivas para la privacidad? 

Indicar las medidas alternativas consideradas (por ejemplo, un alumbrado mejorado, la contratación de personal de seguridad, etc.) de manera previa a la toma de decisión de usar el sistema de videovigilancia elegido. 

¿Cuál es la legitimación (base jurídica) para la utilización del sistema de videovigilancia? 

El artículo 6 del Reglamento General de Protección de Datos establece los supuestos que legitiman el tratamiento de datos de carácter personal (consentimiento, relación contractual, intereses vitales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos o intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos).

Sin embargo, la Agencia Española de Protección de Datos, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, manifiesta que “puesto que la finalidad de la videovigilancia consiste en garantizar la seguridad de personas, bienes e instalaciones, el interés público legitima dicho tratamiento.”

EJEMPLO DE EIPD EN VIDEOVIGILANCIA

Fines del tratamiento

Detección y prevención de actividades ilícitas o el seguimiento de personas sospechosas, identificar personas de interés a través de mecanismos de reconocimiento facial, encontrar personas vulnerables o buscadas, etc.

Tecnología empleada en la recogida de la información

Videocámaras de circuitos cerrados de televisión, videocámaras corporales, ANPR, drones, videocámaras stand-alone, visionado en tiempo real, etc.

Transmisión de la imagen

Fibra óptica, inalámbrico, cableado, banda ancha, etc.

Zona videovigilada

lugares públicos, aparcamientos, edificios o instalaciones, etc.

Categorías de interesados

Público en general, individuos sospechosos, vehículos, visitantes, etc.

Destinatarios de las imágenes

Encargados, Fuerzas y Cuerpos de Seguridad, Jueces o Tribunales, etc.

Plazos de conservación de los datos

Un mes

Métodos de almacenamiento

Unidades de disco duro (HDD) de baja, o de alta capacidad, transmisiones de vídeo ininterrumpida, Video Inteligente, etc.

Métodos de supresión

Borrado de las imágenes, destrucción de discos duros, etc

Opinión de los interesados

Indicar las observaciones y comentarios de las personas afectadas por la videovigilancia o sus representante (obtenidas, por ejemplo, mediante reuniones, encuestas, cuestionarios, etc.).

Beneficios o ventajas se esperan conseguir

Detallar las razones por las cuales se considera que el sistema elegido es más efectivo en comparación con otras medidas alternativas existentes.

Riesgos para la privacidad

Tomar en consideración las expectativas razonables de los interesados y el impacto que puede tener el sistema en el comportamiento de éstos.

Medidas relacionadas con la privacidad desde el diseño y por defecto

Indicar las medidas contempladas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento, así como asegurar que solo sean objeto de tratamiento los datos personales que sean necesarios para cumplir el fin propuesto. 

Acceso y utilización 

Identificar las organizaciones (corresponsables, encargados u otros destinatarios) que accederán o tratarán los datos personales derivados del sistema de videovigilancia, y sus responsabilidades respecto a los mismos. 

Identificación de los interesados

Proporcionar los motivos por los cuales se hace necesaria la identificación de las personas.

Por ejemplo, los drones empleados para observar el tráfico y detectar posibles infracciones necesitan recoger las matrículas de los vehículos para multar a los infractores;

Sin embargo, los drones diseñados para detectar y extinguir incendios forestales no necesitan, en un principio, recoger datos de carácter personal.

EVALUACIÓN CONTINUA

Los sistemas de videovigilancia deben ser revisados regularmente (por ejemplo, una vez al año) para asegurar que sigan siendo necesarios, proporcionados y efectivos en relación a su finalidad inicial.

En consecuencia, podríamos formularnos las siguientes preguntas:

• ¿Hay la posibilidad de que surjan nuevos fines del tratamiento en el futuro?
• ¿Cómo se analizará los riesgos que puedan surgir de los nuevos fines?: Indicar si es probable de que las imágenes originadas a partir del sistema de videovigilancia puedan ser utilizadas para cualquier otro fin o que se añadirá al mismo alguna tecnología adicional (por ejemplo, reconocimiento facial) y cómo se gestionarán estos cambios.
• ¿Se ha tenido en cuenta el impacto que el sistema de videovigilancia tendrá en los derechos y libertades de los interesados? 
• ¿Puede el sistema de videovigilancia provocar discriminación? : Detallar si la videovigilancia propuesta tendrá un impacto discriminatorio o desproporcionado sobre un sector específico de la sociedad. Por ejemplo, la instalación de videocámaras en barrios con una alta densidad de un grupo religioso o étnico concreto. 

CONCLUSIONES

La contestación de las preguntas indicadas anteriormente permiten:

• obtener una descripción sistemática del tratamiento y de sus fines.
• determinar la necesidad y la proporcionalidad del tratamiento.
• evaluar los riesgos para los derechos y libertades de los interesados
• abarcar las medidas previstas para afrontar dichos riesgos.

Es decir, el contenido mínimo que debe incluir una evaluación de impacto según exige el artículo 35.7 del Reglamento General de Protección de Datos. 

Dicho lo anterior, una evaluación de impacto relativa de protección de datos no implica únicamente contestar una serie de preguntas; sino que se trata de un proceso estructurado en diferentes etapas (cada una de ellas comportando la realización de una serie de actividades):

• Análisis previo de la necesidad de la evaluación.
• Descripción sistemática del tratamiento.
• Evaluación de la necesidad y la proporcionalidad del mismo.
• Gestión de riesgos (identificación, evaluación y tratamiento de éstos).
• Supervisión de la implantación de las medidas que garantice la protección de datos personales.
• Revisión del tratamiento objeto de la evaluación.

Todas estas etapas deberán quedar documentadas en el correspondiente informe de la evaluación de impacto.

En cualquier caso, a la hora de colocar o reubicar una cámara o cambiar su punto de enfoque o proceder a la instalación o actualización de un sistema de videovigilancia, el responsable del tratamiento debe conocer las respuestas a las preguntas que se plantean en el documento publicado por la comisión de garantías de la videovigilancia británico.

BRECHAS DE SEGURIDAD

El RGPD también establece la obligación de notificar a la AEPD, las incidencias de seguridad que produzcan como resultado una pérdida, borrado o destrucción de datos de carácter personal.

Esta comunicación a la autoridad de control deberá realizarse en el plazo de 72 horas desde que se hubiera tenido conocimiento de la incidencia.

No obstante, se podría evitar la notificación de los hechos a la AEPD si se pueden aplicar medidas correctoras que minimicen el riesgo sobre los derechos de los afectados.

O no se aprecie un perjuicio para sus intereses.

La entrada EVALUACION DE IMPACTO Y VIDEOVIGILANCIA. se publicó primero en Gestiona Abogados.

Analizar la necesidad de llevar a cabo una EIPD

La EIPD debe realizarse, en general,  cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, y en particular, cuando se realicen

-Operaciones de tratamiento que implican llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se basen en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente o perjudiquen de alguna manera.

-Tratamientos a gran escala relativos a alguna categoría especial de datos, y/o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

-Tratamientos que supongan un control sistemático, o monitorización, a gran escala de áreas de acceso al público, en su caso, utilizando dispositivos optoelectrónicos.

-Uso de tecnologías especialmente invasivas como la video vigilancia a gran escala, aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, biometría, técnicas genéticas, geolocalización o la utilización de radiofrecuencia (RFID).

-Tratamiento grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things), o el desarrollo y la construcción de ciudades inteligentes (Smart Cities)

Formar el equipo de trabajo que desarrollará la EIPD

• Un representante con capacidad de decisión
• El Delegado de Protección de Datos (DPD)
• El responsable de seguridad
• Representante cualificado del departamento TIC
• Representante de las áreas de negocio o departamentos a los que más afecte el proyecto dentro de la organización
• Experto en protección de datos perfil jurídico
• Experto en protección de datos perfil técnico

Alcance la EIPD y Organización del trabajo (plazos, recursos y tareas)

Descripción del proyecto

Información y documentación

Flujos de información

DESCRIBIR EL TRATAMIENTO

Se deben describir las operaciones de tratamiento previstas, los fines del tratamiento, y cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

La EIPD debe establecer:

• El alcance y necesidad de la EIPD
• Personal afectado por la EIPD
• Los fines y medios del tratamiento previsto.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Los datos de contacto del DPD.
• Las medidas de control necesarias para tratar los riesgos identificados”
• Cualquier otra información que solicite la Autoridad de Control.

Como punto de partida, requiere plantearse las siguientes cuestiones:

¿Qué se va a hacer con los datos y con qué finalidad?

Se debe analizar qué se prevé realizar con los datos y los medios mediante los cuales se realizará el tratamiento, así como identificar las diferentes finalidades para las cuales se quieren tratar los datos.

¿Qué datos se van a tratar? ¿Son necesarios todos ellos? ¿De quién son los datos a tratar?

Se deben identificar todos los datos que puedan ser objeto de tratamiento:

• nombre, apellidos, dirección, datos de salud, correo electrónico o imágenes
• su necesidad para la finalidad con la que se recogen
•  el origen o la fuente de los mismos (clientes, potenciales clientes, empleados, pacientes, redes sociales, fuentes externas, etc.)

Base legitimadora en la que se basa el tratamiento

Supuestos en los que se considera que el tratamiento de datos personales es lícito:

1. Se  cuenta  con  el  consentimiento  del  interesado para los fines específicos del tratamiento. Cuando la base de licitud del tratamiento es el consentimiento del interesado, el responsable del tratamiento  debe  poder  garantizar  y  demostrar  que  ha  obtenido  el  consentimiento  inequívoco  y libre.
2. El tratamiento es necesario para:

• la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas pre contractuales.
• el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
• proteger  intereses  vitales  del  interesado  o  de  otra  persona física
• el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
• la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan  los  intereses  o  los  derechos  y  libertades  fundamentales  del  interesado  que  requieran la protección de datos personales, en particular cuando el interesado sea un niño.

El interés legítimo se puede utilizar como base de licitud de un tratamiento «siempre que no prevalezcan los intereses o los derechos y libertades de la persona interesada» y teniendo en cuenta las expectativas razonables de las personas afectadas por el tratamiento, basadas en la relación que tienen con el responsable del tratamiento.

El uso del interés legítimo como base de licitud del tratamiento debe ser evaluado adecuadamente, tomando en consideración que cuando la licitud del tratamiento se basa en el interés legítimo del responsable del tratamiento (o de un tercero), hay que sopesar estos intereses y los de las personas que se verán afectadas.

EVALUAR LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO

Seguidamente, es necesario realizar una evaluación de la necesidad y proporcionalidad de las operaciones de  tratamiento con respecto a su finalidad.

• El principio de “minimización de datos” establece que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados”
•  “Los datos personales sólo se deben tratar si la finalidad del tratamiento no se puede hacer razonablemente por otros medios”, es decir, sin tratar datos personales.
• “Las finalidades tienen que estar definidas de manera determinada, explícita y legítima”.
• “Cualquier tratamiento de datos personales tiene que ser lícito y leal”. Este punto está unido al análisis de las finalidades establecidas en el tratamiento y su supuesto legitimador.
• “Los datos personales tienen que ser adecuados, pertinentes y limitados a lo necesario para los fines para los cuales se tratan”.
• “El plazo de conservación se limite a un mínimo estricto”.

La proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas (de manera cuantitativa o cualitativa), haciendo uso de otras tecnologías menos invasivas o bien aplicando otros procedimientos o medios de tratamiento (modificando los inicialmente previstos), etc.

Las autoridades de protección de datos a menudo señalan que para comprobar si un tratamiento supone una medida restrictiva de un derecho fundamental, este debe superar los tres puntos del llamado juicio de proporcionalidad:

• Juicio de idoneidad: si la medida puede conseguir el objetivo propuesto.
• Juicio de necesidad: si, además, es necesario, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
• Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

En definitiva, a nivel práctico, se debe responder de manera argumentada a dos preguntas:

¿El tratamiento, tal y como está definido, es necesario para la finalidad prevista?

¿Las actividades de tratamiento son proporcionales a las finalidades previstas?

Si al evaluar estos aspectos, se concluye que el diseño del tratamiento no cumple con alguno de estos dos principios, tal y como recoge el artículo 39 del RGPD, «Los datos personales sólo se tratarán si la finalidad del tratamiento no se puede hacer razonablemente por otros medios», este tratamiento no se debe llevar a cabo y será necesario reformular o rediseñar dicho tratamiento.

EVALUACION Y GESTION DE RIESGOS

Identificación de Riesgos

En esta etapa inicial del proceso de gestión de riesgos se deben identificar los potenciales escenarios de riesgo que pueden afectar negativamente a los derechos y libertades de las personas derivados de un inadecuado tratamiento de sus datos.

El riesgo es la exposición a amenazas, por tanto, como punto de partida, es fundamental entender qué es una amenaza y cómo se puede identificar escenarios de riesgo a partir de la misma.

¿Qué es una amenaza?

Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento.

¿Qué tipos de amenazas hay?

-De forma general:

• Desastres naturales:
• Fuego, agua, desastres ambientales…
• Errores y fallos:
• Destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información…
• Ataques intencionados: Hacking, phishing, malware, robo…
• Incumplimiento normativo: Incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento…

-Si ponemos foco en la protección de los datos, las amenazas se pueden categorizar principalmente en 3 tipos en base a la tipología de daño que pueden producir en los datos:

• Acceso ilegitimo a los datos  confidencialidad
• Modificación no autorizada de los datos  integridad
• Eliminación de los datos  disponibilidad

¿Cómo identificar amenazas?

Para identificar de forma adecuada las amenazas asociadas a las actividades de tratamiento, se debe tener en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza.

Identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.

Ejemplos de amenazas en función de su tipología:

• Acceso ilegítimo a los datos
•  Perdidas de dispositivos móviles
•  Fuga de información
•  Acceso intencionado por parte de personal no autorizado
•  Ataques intencionados (hacking, suplantación de identidad, etc.)
•  Uso ilegítimo de datos personales
• ¿Los dispositivos móviles y de almacenamiento están cifrados?
• ¿Existen métodos para extraer la información durante la operación de tratamiento?
• ¿Está expuesta la información al acceso por parte de terceros no autorizados?
• ¿Existe un mecanismo para dar acceso a los datos únicamente al personal autorizado?
• ¿La operación de tratamiento es susceptible de ataques de hacking? ¿es susceptible de ataques de phishing o de otros métodos de suplantación de identidad?
• ¿Existe una adecuada gestión de la configuración de los parámetros de seguridad de los elementos (elementos de red, SO y BBDD)
• ¿Existe una base legitimadora para la actividad de tratamiento? ¿Las finalidades de las actividades de tratamiento son necesarias y proporcionales?
• Modificación no autorizada de los datos
•  Ataque para la suplantación de identidad
•  Errores en los procesos de recopilación y captura de información
•  Modificación no autorizada de datos intencionada
•  Uso ilegítimo de datos personales
• ¿Existen credenciales o mecanismos de control que limiten el acceso a personal no autorizado? ¿Se revisa periódicamente la actividad realizada por los usuarios cuando acceden a los sistemas?
• ¿Existen controles sobre la integridad de la información durante el proceso de captura de datos? ¿Se identifica adecuadamente al interesado que proporciona los datos?
• ¿Los datos son modificables únicamente por el personal autorizado?
• ¿La actividad de tratamiento sobre los datos es acorde a las finalidades para las cuales existe una base legitimadora?
•  ¿Se puede realizar un perfilado o una operación de tratamiento que no esté alineada con las finalidades de la operación de tratamiento?
• Eliminación de los datos
•  Corte de suministro eléctrico o fallos en servicios de comunicaciones
•  Error humano o ataque intencionado que provoca borrado o pérdida de datos
•  Desastres naturales
• ¿Un fallo de suministro eléctrico puede implicar la pérdida de datos?
• ¿Un fallo en los servicios de comunicaciones puede ocasionar una pérdida de datos?
• ¿Los datos pueden ser eliminados únicamente por el personal autorizado? ¿Existen copias de seguridad?
• ¿Están los sistemas que almacenan datos en ubicaciones expuestas a la posibilidad de que se produzca un desastre natural?
• ¿Existe réplica de los datos en diferentes ubicaciones?

¿Qué es un riesgo?

Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas.

El nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.

Para  evaluar  un  riesgo  es  necesario  considerar  todos  los  posibles  escenarios  con  los  que  el  riesgo se haría efectivo, incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

¿Cómo relacionar los riesgos con las amenazas?

Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar.

Evaluación de riesgos

La evaluación de riesgos consiste en valorar y estimar la probabilidad y el impacto de que el riesgo se materialice

Como punto de partida, es necesario haber definido el criterio que se seguirá a la hora de valorar los riesgos.

Los criterios para cuantificar los riesgos, estimar el nivel de impacto y su probabilidad, se pueden basar en estándares o se pueden definir a criterio de la organización.

A la hora de definir los criterios para cuantificar los riesgos es importante destacar que, la diferencia  principal  entre  la  EIPD  y  los  análisis  de  riesgos  tradicionales  que  una  entidad  suele  realizar, reside en que la EIPD se realiza desde “el punto de vista del interés del sujeto” mientras que los análisis de riesgos se realizan desde el punto de vista del “riesgo para la entidad”.

A continuación, se describen una serie de conceptos necesarios para poder evaluar los riesgos, así como, un método estandarizado para estimar y valorar el impacto y la probabilidad asociados a un riesgo.

¿Qué es el riesgo inherente y cómo se calcula?

El riesgo inherente es el riesgo intrínseco de cada actividad, sin tener en cuenta las medidas de control que mitigan o reducen su nivel de exposición.

El riesgo inherente surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice.

El cálculo del riesgo inherente se realiza mediante la siguiente fórmula:

La  probabilidad  se  determina  en  base  a  las  posibilidades  que  existen  de  que  la  amenaza se materialice.

A continuación, se presenta una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134), aunque cada entidad podrá utilizar la metodología que mejor se ajuste a sus circunstancias (por ejemplo, el uso de alguna de las metodologías de riesgos internas).

Riesgo = Probabilidad X Impacto

Escala de posibles valores para el cálculo de la probabilidad:

• Probabilidad  despreciable: La posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
• Probabilidad limitada: La posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
• Probabilidad significativa: La posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia).
• Probabilidad  máxima: La posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).

El impacto

El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.

De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles:

• Impacto despreciable: El impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).
• Impacto limitado: El impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).
• Impacto significativo: El impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
• Impacto máximo: El impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).

El impacto asociado a un riesgo puede ser ocasionado por daños de diferente índole.

El daño

Para evaluar el impacto asociado a un riesgo, se recomienda realizar la evaluación considerando tres dimensiones diferentes de posibles daños que se pueden producir sobre el interesado:

• Daño  físico: Conjunto de acciones que pueden ocasionar un daño en la integridad física del interesado.
• Daño material: Conjunto de acciones que pueden ocasionar pérdidas económicas, de patrimonio, de empleo, etc.
• Daño  moral: Conjunto de acciones que pueden ocasionar un daño moral o mental en el interesado, como una depresión, fobias, acoso, etc.

La escala de impacto dependerá del tipo y cantidad de daño o perjuicio causado. El valor final de impacto deberá ser solo uno por riesgo, entre las cuatro posibilidades. A continuación, se pueden ver ejemplos prácticos de cada uno de los niveles de impacto en todas sus magnitudes:

Ejemplos de posibles daños físico, material o moral

Despreciable: Los interesados no se verán prácticamente afectados o encontrarán alguna pequeña inconveniencia

•  Molestias o irritación.
•  Se incumplen obligaciones materiales sin perjuicios relevantes.
•  No se priva de los derechos y libertades.

Limitado: Los interesados podrán encontrar inconveniencias no significativas

• Estrés o padecimientos físicos menores.
• Costes extra, denegación de acceso a algunos servicios o incumplimiento de obligaciones materiales con perjuicios económicos.
• Se priva de los derechos y libertades de los interesados, por ejemplo, por difamación de un interesado por divulgación de datos personales.

Significativo:

• Los interesados encontrarán consecuencias significativas, que deberían poder superar sin dificultades serias.
• Empeoramiento del estado de salud o agresiones físicas.
• Apropiación indebida de fondos, pérdida del empleo o incumplimiento de obligaciones materiales con perjuicios económicos relevantes.
•  Se agrede contra los derechos y libertades de los interesados, por ejemplo, una citación judicial, entrar en una lista de morosidad o divulgación de datos personales con impacto significativo en la reputación del interesado.

Máximo: Los interesados encontrarán consecuencias significativas o incluso irreversibles, que podrán no llegar a superarse.

• Agresiones físicas con consecuencias irreparables.
• Asunción de una deuda inafrontable, imposibilidad de volver a trabajar o incumplimiento de obligaciones materiales con perjuicios económicos irreparables.
• Se agrede significativamente contra los derechos y libertades de los interesados, por ejemplo, padecimiento psicológico con consecuencias a largo plazo o irreparables por la divulgación de datos sensibles.

Tomando como base las escalas de probabilidad e impacto, para poder determinar el riesgo inherente, es necesario asignar valores a cada uno de los niveles de las escalas de probabilidad e impacto. La escala de valores comprende desde el valor 1, en el caso de que la magnitud sea despreciable, hasta el valor 4 en el caso donde la magnitud es máxima:

• Despreciable
• Limitado
• Significativo
• Máximo

Si se enfrentan la probabilidad y el impacto, se forma una matriz de riesgo, tal y como se puede ver a continuación:

Si se establece un valor numérico a la probabilidad y otro valor al impacto, según la escala de valores definida, se obtiene una posición en la matriz de riesgos que se corresponde con el riesgo inherente resultado de aplicar la fórmula de estimación del riesgo. El resultado del riesgo inherente se puede considerar en los siguientes niveles en función del valor obtenido:

•  Bajo: Si el valor resultante se sitúa entre los valores 1 y 2.
•  Medio: Si el valor resultante es mayor de 2 y menor o igual que 6.
•  Alto: Si el valor resultante es mayor que 6 y menor o igual que 9.
•  Muy Alto: Si el valor resultante es mayor que 9.

Considerando los criterios establecidos, si se deseara valorar un riesgo, por ejemplo, al añadir valores numéricos a la probabilidad y al impacto, ante un riesgo con probabilidad limitada (2) e impacto significativo (3), el nivel de riesgo inherente será medio (2 x 3 = 6).

Riesgo inherente

Durante la fase de evaluación de riesgos, se debe realizar este ejercicio para cada una de las amenazas identificadas, considerando los riesgos asociados, el impacto y la probabilidad de que se materialice y determinando su riesgo inherente.

Para poder estimar y valorar el riesgo, es necesario tener contexto sobre la exposición a la que se somete el riesgo.

Supongamos una aplicación móvil con almacenamiento en la nube que captura datos a través de weareables (dispositivos como un reloj o pulsera), además de permitir la introducción manual de datos de salud por parte del usuario.

• La finalidad de la actividad de tratamiento es monitorizar la actividad del usuario y recomendar  hábitos  de  vida  saludables.
• La  aplicación  móvil  no  dispone  de  medidas  de  control de acceso, ni de detección de malware, además no se realizan copias de seguridad de los datos.
• Adicionalmente, durante la fase de registro del usuario no se solicita consentimiento expreso para ninguna finalidad adicional a la mencionada.

MEDIDAS PREVISTAS PARA AFRONTAR LOS RIESGOS

La última etapa del proceso de gestión de riesgos consiste en definir la respuesta o las medidas necesarias para tratar el riesgo y reducir su nivel de exposición.

Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento.

¿Qué alternativas existen para reducir o mitigar un riesgo?

El nivel de riesgo se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte. Existen cuatro medidas diferentes para tratar el riesgo:

• Reducción  del  riesgo: Para reducir el nivel de riesgo, se deben establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente.
• Retención del riesgo: Si el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales.
• Transferencia  del  riesgo:  Consiste  en  compartir  un  riesgo  con  una  organización  externa. Se puede transferir el riesgo a una aseguradora que afronte las posibles consecuencias materiales. Sin embargo, se ha de considerar que, en ocasiones, la transferencia de riesgos puede generar otros riesgos. Por ello, la transferencia puede generar la necesidad de análisis adicionales.
• Anulación del riesgo: Si el riesgo es muy elevado y no se quiere asumir el mismo, se puede decidir abandonar la actividad de tratamiento.

Las medidas  de  control  tienen  como  objetivo  mitigar  o  minimizar  el  riesgo  asociado  a  una  operación de tratamiento.

Es importante destacar que el objetivo principal de una EIPD no es eliminar completamente el riesgo asociado a las actividades de tratamiento, lo que se pretende es reducir el mismo hasta un nivel aceptable para poder llevar a cabo las mismas garantizando los derechos y libertades de los interesados.

Medidas de control

Durante el proceso de definición de las medidas de control se debe considerar de forma independiente cada riesgo identificado y establecer tantas medidas de control como sean necesarias hasta lograr un nivel de riesgo aceptable.

Existen diversos tipos de medidas de control, por ejemplo:

• Organizativas: Medidas asociadas a procedimientos, a la organización y gobierno de la entidad. En esta tipología de medidas se pueden incluir los procedimientos para ejercer los derechos de los interesados, protocolos para gestionar vulnerabilidades e incidentes, etc.
• Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulas para recogida de consentimientos expresos, etc.
• Técnicas: Medidas que permiten velar por la seguridad física y lógica de los activos de información. Por ejemplo, controles de acceso, cifrado, etc.

Riesgo residual

¿Qué es el riesgo residual y cómo se calcula?

El riesgo residual es el riesgo de cada actividad una vez se hayan aplicado las medidas de control para mitigar y/o reducir su nivel de exposición.

A diferencia del riesgo inherente, el riesgo residual contempla las medidas de control definidas sobre la actividad de tratamiento para valorar la probabilidad y/o el impacto asociado al riesgo.

Para evaluar el riesgo residual, se debe estimar de nuevo la probabilidad y el impacto considerando las medidas de control definidas.

Por ejemplo, ante un riesgo de acceso no autorizado por parte de terceros en un proceso de autenticación, el hecho de establecer un usuario y una contraseña asignados al usuario (cumplimiento con políticas de control de acceso e identificación), reduce significativamente la probabilidad de que un tercero pueda realizar un acceso no autorizado. En este caso, la medida de control reduce la probabilidad de ocurrencia del riesgo y, por tanto, minimiza el riesgo residual asociado.

Ejemplo práctico de estimación del riesgo residual:

• Ciclo  de  vida  del  dato  (fase  almacenamiento):
• Almacenamiento  de  datos  de  clientes  en  dispositivos móviles.
• Amenaza: Pérdida del dispositivo móvil.
• Riesgo: Acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
• Riesgo residual  = Probabilidad X Impacto
• Impacto: Violación de derechos fundamentales (Significativo).
• Probabilidad: Se puede producir cada vez que el usuario no tiene en su poder el dispositivo móvil (Significativa).
• Riesgo inherente: Impacto x Probabilidad  x  =  (Riesgo alto).
• Medidas de control: Método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y pseudonimización de los datos.
• Eficacia del control: Reduce la probabilidad a despreciable, debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable, debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
• Riesgo residual: Impacto x Probabilidad  x = (Riesgo bajo)

PLAN DE ACCION

Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable.

Se recomienda que el plan de acción incluya al menos los siguientes campos de información:

• Control
• Descripción del control
• Responsable de implantación
• Plazo de implantación

Para la ejecución del plan de acción, se deben considerar dos posibilidades:

La EIPD se ha hecho sobre un nuevo tratamiento.

La EIPD se ha hecho sobre un tratamiento ya existente.

En el primer caso, el plan de acción obtenido se deberá considerar durante la fase de definición de requerimientos de la actividad de tratamiento (privacidad desde el diseño).

Si la EIPD se ha realizado sobre un tratamiento ya existente, se debe lanzar un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual.

El responsable del tratamiento debe establecer un plazo máximo en el cual se deben implantar las medidas de control incluidas en el plan de acción.

En caso de superar el plazo establecido, considerando que el riesgo residual actual del tratamiento no es aceptable, el responsable del tratamiento puede exigir que se interrumpa el tratamiento hasta la implantación de las medidas correspondientes.

La  conclusión  de  la  EIPD  debe  realizarse  basándose  en  el  nivel  de  riesgo  residual  obtenido  durante la fase de gestión de riesgos, valorando si este es elevado o se considera aceptable y dentro de unos límites razonables.

Si la conclusión de la EIPD, no es favorable, se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable.

Si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la Autoridad de Control.

COMUNICACIÓN Y CONSULTA A LA AUTORIDAD DE CONTROL

“El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo”.

Como criterio general, siempre y cuando el resultado de la EIPD suponga que el riesgo residual del tratamiento es alto o muy alto, el responsable del tratamiento debe realizar una consulta a  la  Autoridad  de  Control  mediante  los  canales  de  comunicación  establecidos.  La  consulta  a  la Autoridad de Control y en virtud de lo que se detalla en el apartado 3 del artículo 36 del RGPD, deberá incluir la siguiente información:

• Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento.
• Si la conclusión de la EIPD es favorable, la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.

Se recomienda realizar un proceso de supervisión durante la fase de implantación con el objetivo de garantizar y validar que las medidas de control definidas en el plan de acción han sido implantadas correctamente.

INFORME

 Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:

• Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.
• Resumen del informe con indicación de los resultados.
• Introducción y descripción general del proceso de evaluación.
• Resultado del análisis de necesidad de la evaluación y su justificación.
• Descripción general del proyecto.
• Descripción detallada de los flujos de datos personales.
• Riesgos identificados.
• Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.
• Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.
• Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.

SUPERVISION Y REVISION DE LA IMPLANTACION

La EIPD permite determinar las medidas de control necesarias para tratar los riesgos identificados, sin embargo, no deja de ser un ejercicio teórico que requiere su puesta en práctica de  forma  íntegra  para  garantizar  los  derechos  y  las  libertades  de  los  interesados.

Es  fundamental  que  se  realice  una  adecuada  supervisión  y  una  posterior  revisión  de  la  implantación  de las medidas de control definidas en la EIPD para reducir el riesgo inherente hasta un riesgo residual que permita llevar a cabo el tratamiento garantizando los derechos y libertades de las personas físicas.

A nivel práctico, es recomendable que una figura delegada supervise y garantice que las medidas de control definidas durante la EIPD se implantan adecuadamente antes de llevar a cabo las  actividades  de  tratamiento  de  datos  de  carácter  personal  por  parte  del  responsable  del  tratamiento.

La EIPD debe quedar documentada:

La metodología empleada

Cada entrada y salida que se produzca

Las reuniones de mayor importancia que se celebren y los resultados

Con ello se permite acreditar cada paso y decisión tomada de cara a posibles revisiones internas o comprobaciones por las autoridades y organismos competentes.

Gestiona Abogados

La entrada EVALUACIÓN DE IMPACTO DE PROTECCION DE DATOS. EIPD se publicó primero en Gestiona Abogados.

Antes del inicio de la EIPD, debemos considerar los siguientes factores:

• ¿Quién debe estar involucrado? (Recursos necesarios y el equipo de trabajo involucrado en la ejecución).  Es necesario definir quién va a realizar la EIPD y que figuras o personas se van a involucrar en la ejecución de la misma (por ejemplo, el área responsable del tratamiento realizará la EIPD con el asesoramiento del DPD y del área de seguridad de la información).
• ¿Qué tareas se deben realizar y cómo? (Metodología, actividades a desarrollar e hitos temporales asociados)
• ¿Qué y cómo documentar el proceso llevado a cabo?  (Documentación de análisis, conclusiones y plan de acción)

La documentación de las tareas, análisis y evaluaciones realizadas, así como las conclusiones obtenidas, deben ser documentadas.

Es importante mantener trazabilidad de las acciones realizadas y disponer de una base que justifique las conclusiones o decisiones tomadas.

La búsqueda de objetividad es un principio fundamental en una EIPD.

Es fundamental disponer de un proceso sistemático a través de una metodología o procedimiento estandarizado de trabajo que permita establecer criterios comunes para garantizar la homogeneidad, repetitividad y comparabilidad en la ejecución de una EIPD.

Contexto del tratamiento

Describir el ciclo de vida de los datos

El análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Como punto de partida, es necesario conocer en detalle todo el ciclo de vida y el flujo de los datos personales a través del mismo y todos los actores y elementos que intervienen durante las actividades de tratamiento desde su inicio hasta su fin.

Como resultado de esta etapa, se debe obtener una visión en detalle que permita facilitar la identificación de las amenazas y los riesgos a los que están expuestos los datos de carácter personal asociados al mismo.

Adicionalmente a la descripción del tratamiento, se debe obtener una descripción clara de los elementos que intervienen en cada una de las fases del ciclo de vida de los datos del tratamiento.

El ciclo de vida de los datos se puede dividir en las siguientes etapas:

Captura de datos:

Proceso de obtención de datos para su almacenamiento y posterior procesado. Dentro de la captura de datos se pueden encontrar diversas técnicas, como por ejemplo: formularios web, formularios en papel, la toma de muestras y realización de encuestas, grabaciones de audio y video, fuentes externas o públicas como redes sociales, captación mediante sensores, etc.

Clasificación / Almacenamiento:

Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.

Uso / Tratamiento:

Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.

Cesión de los datos a un tercero para su tratamiento:

Traspaso o comunicación de datos realizada a un tercero (toda persona física o jurídica, pública o privada u órgano administrativo).

El concepto de cesión o comunicación es muy amplio, puesto que la revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos.

Destrucción:

Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes.

Adicionalmente, para cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento, se deben identificar todos los elementos involucrados en cada una de las etapas.

Podríamos clasificar los elementos involucrados en las siguientes categorías:

• Etapa del tratamiento
• Actividades u operaciones
• Tecnología Interviniente
• Dato

Es necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.

Intervinientes

Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en las actividades de tratamiento.

Se deben identificar a las personas físicas o jurídicas que, de manera individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento de los datos de carácter personal.

la hora de identificar a los diferentes intervinientes, es necesario tener en cuenta todos los flujos de información de los datos previstos en el tratamiento.

Los intervinientes en el tratamiento deben estar identificados y tener delimitadas sus funciones y responsabilidades.

Dentro del grupo de los intervinientes se puede incluir el responsable del tratamiento, áreas o empleados de las organizaciones que participan activamente del procesado de los datos, encargados de tratamiento, etc.

La participación de cada uno de los intervinientes puede suponer una amenaza sobre los datos de carácter personal.

Tecnología

La tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de los datos de carácter personal.

Se deben identificar aquellos elementos tecnológicos que intervienen en las actividades de tratamiento de los datos de carácter personal a un alto nivel, sin llegar entrar en un análisis tecnológico pormenorizado.

Dentro de cada etapa se debe identificar el hardware y el software que sea relevante desde la perspectiva del tratamiento de los datos de carácter personal.

Las tecnologías están expuestas a diferentes riesgos, por ello, es fundamental realizar una adecuada identificación de todos los elementos tecnológicos que intervienen a lo largo del ciclo de vida de los datos asociados al tratamiento.

Se debe identificar la tecnología (cloud, BBDD, servidores), aplicaciones, dispositivos y técnicas empleadas en el procesamiento de los datos.

Por último, no hay que olvidar que, si alguna actividad del proceso implica el tratamiento no automatizado de los datos, lo hemos de identificar como una técnica más de tratamiento y se debe inventariar como un activo más.

Respecto al contenido mínimo en las EIPD:

-Una evaluación de los riesgos para los derechos y las libertades de los interesados.

-Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Identificar y evaluar los riesgo son  las  tareas  iniciales  del  proceso  de  gestión  de  riesgos. 

Asegurar la correcta identificación de los riesgos a los que están expuestas las actividades de tratamiento es una parte clave para poder realizar una evaluación completa. La no identificación de riesgos implica que estos no se evalúan y no se tratan, y el tratamiento podría estar más expuesto al potencial riesgo.

Las siguientes actividades permiten establecer las bases para la identificación y evaluación de los riesgos:

-Identificar el origen de los riesgos, es decir, analizar los potenciales escenarios de riesgo a los que pueden estar expuestos los datos personales.

Por ejemplo, un tratamiento que incluya un almacenamiento en la nube, es un escenario con exposición a riesgos que pueden implicar la pérdida de confidencialidad y disponibilidad, entre otros.

–El  análisis  de  las  situaciones  que  generan  riesgo, teniendo en cuenta los factores y características que pueden entrar en juego a la hora de determinar el nivel de riesgo que implican.  Continuando  con  el  anterior  ejemplo,  en  un  tratamiento  que  incluya  un  almacenamiento basado en la nube, un potencial acceso no autorizado a los datos en caso de un ataque cibernético o la pérdida de los mismos ante ausencia de medios de respaldo ante un fallo en las bases de datos que soportan la nube, podrían ser situaciones que generan riesgo y que se deben considerar en el análisis.

–La valoración de los riesgos, teniendo en cuenta la probabilidad de que un evento no deseado se produzca y el impacto que puede tener (consecuencias).

Ante el riesgo de acceso no autorizado a los datos, si no disponemos de medidas de control que limite el acceso a la nube, la probabilidad de que se materialice el riesgo será elevada y su impacto, en función de los datos almacenados, también podría ser elevado.

-El último paso del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan disminuir la probabilidad y/o impacto de que estos se materialicen.

                                                                                     Gestiona Abogados

La entrada Metodología: Evaluación de Impacto en la Protección de Datos. se publicó primero en Gestiona Abogados.

Es fundamental realizar un análisis previo.

¿Para qué?

Para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada.

Del resultado del análisis sobre la necesidad de realizar una EIPD se puede concluir que:

Sí es necesario realizar una EIPD:

Se realizará y documentará una EIPD con todas sus fases.

No es necesario realizar una EIPD:

Se debe documentar adecuadamente los motivos por los cuales se ha llegado a esa conclusión.

En cualquier caso, se debe mantener evidencia de que se ha llevado a cabo este análisis (responsabilidad proactiva).

Tratamientos en los que es obligatorio realizar una EIPD:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas, o que les afecten de modo similar.
• Tratamiento  a  gran  escala  de  las  categorías  especiales  de  datos  personales,  o  datos  sobre  condenas e infracciones penales, o medidas de seguridad conexas.
• Observación sistemática a gran escala de una zona de acceso público.
• Evaluación o scoring: Valoraciones y análisis, incluidos la elaboración de perfiles y predicciones, especialmente de “aspectos relacionados con el desempeño del interesado en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, ubicación o movimientos”.
• Toma de decisiones automatizada con efecto legal o similar:Procesamiento que tiene como objetivo la toma de decisiones sobre sujetos que producen “efectos legales sobre la persona física” o que “de manera similar afecta significativamente a la persona física”. Por ejemplo, si el procesamiento puede conducir a la exclusión o discriminación de las personas.

¿Qué debe incluir una EIPD?

• Una descripción sistemática de la actividad o actividades de tratamiento previstas.
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
• Una evaluación de los riesgos.
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Estructura de la EIPD

Describir el ciclo de vida de los datos:

• Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento.
• Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.

Analizar la necesidad y proporcionalidad del tratamiento:

Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

Gestión de riesgos:

• -Identificar amenazas y riesgos
• -Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
• -Tratar los riesgos:

Conclusión, validación y Plan de Acción.

-Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control definidas para tratar los riesgos identificados y concluir con respecto al resultado obtenido.

-Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo, de una actividad de tratamiento, hasta un nivel considerado aceptable.

-Elaborar un Informe de conclusiones de la EIPD donde se documente el  resultado  obtenido  junto  con  el  plan  de  acción  que  incluya  las  medidas  de  control  a  implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

 ¿Quién debe realizar una EIPD y a quién se debe involucrar?

• Corresponde al responsable del tratamiento la obligación de realizar la EIPD y no al DPD.
• El Delegado  de  Protección  de  Datos  (en  adelante  DPD)  proporciona  el  asesoramiento necesario al responsable del tratamiento para el adecuado desarrollo de la ejecución de una EIPD.
• Por tanto, la obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos.
• Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento puede ser requerido durante el proceso de evaluación.
• En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
• Es fundamental que, a nivel interno de la Organización, exista una comunicación fluida con las áreas involucradas en las operaciones del tratamiento, con el objetivo de obtener informaciones relevantes sobre el ciclo de vida de los datos asociados al tratamiento.
• Será vital poder describirlo de forma clara y fidedigna, identificar sus vínculos con otros tratamientos y llevar a  cabo  la  evaluación  de  riesgos  disponiendo  de  toda  la  información  necesaria  sobre  lo  que  este realiza.
• Adicionalmente, la consulta con terceras partes encargadas de las actividades de tratamiento proporciona a la Organización la oportunidad de obtener una visión completa de cómo se verán afectados los datos por las actividades de tratamiento delegadas en terceros.
• Entre las posibles garantías para los derechos y libertades de los interesados deberá estimarse la posibilidad que el RGPD recoge también en su artículo 35.9 de pedir, cuando proceda, las opiniones de los interesados o sus representantes, como por ejemplo asociaciones, en relación con el tratamiento.

Observaciones Adicionales

• Adicionalmente a las fases que componen una EIPD, es recomendable que exista un proceso de supervisión y revisión de la implantación, o puesta en marcha, del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción.
• La EIPD debe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.
• Ante  cambios  en  la  descripción  del  tratamiento,  o  en  la  experiencia  que  muestre  amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control.
• En caso de que los cambios sobre el tratamiento no sean significativos, y no generen por tanto nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE XI) EVALUACIÓN DE IMPACTO (EIPD) se publicó primero en Gestiona Abogados.

Despachos de abogados, gabinetes de psicología o logopedia, clínicas de todo tipo (dentistas, podólogos, fisioterapia…), etc.

Este tipo de actividades, por norma general, estaban sujetas a realizar la auditoria de protección de datos cada 2 años.

Con la entrada en vigor de del RGPD, las auditorias y los niveles de seguridad (básico, medio y alto) desaparecen.

Sin embargo, esta figura ha sido sustituida por una evaluación de impacto (EIPD).

Un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan.

Como resultado de ese análisis, la gestión de riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad.

Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad).

De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves.

Finalidad de una EIPD

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

En consecuencia, las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) de la propia evaluación de impacto.

Las evaluaciones de impacto  se deben realizar una sola vez, antes del comienzo de la actividad (o antes de la adaptación al RGPD, si la actividad ya ha comenzado), y únicamente en determinados casos.

El RGPD no especifica exactamente qué tipo de empresas deben pasarla, sino que da unas directrices para que cada país decida.

¿Cuándo debe realizarse una Evaluación de Impacto?

Es recomendable que en el momento de realizar un nuevo tratamiento se analicen los posibles riesgos que puede entrañar el mismo.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD.

Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

No obstante, la nueva regulación europea establece que la EIPD  es obligatoria cuando se dé:

• Alto riesgo
• Evaluación sistemática
• Tratamiento a gran escala de datos especialmente protegidos
• Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

Incluimos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Siempre que se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

• Videovigilancia a gran escala
• Aeronaves no tripuladas (drones)
• Vigilancia electrónica
• Minería de datos
• Biometría
• Técnicas genéticas
• Geolocalización

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.

Tarifas

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Consúltenos en el teléfono 962915025 o en el correo electrónico protecciondatoscertificado@gmail.com,  para que podamos darle una información más precisa.

La entrada Auditorías – Evaluaciones de Impacto se publicó primero en Gestiona Abogados.