Seleccionar página

EVALUACIÓN DE IMPACTO DE PROTECCION DE DATOS. EIPD

por | Dic 21, 2018 | blog, EIPD, RAT o Registro de Actividades de Tratamiento

evaluación de impacto en la protección de datos

ASPECTOS PREPARATORIOS Y ORGANIZATIVOS

Analizar la necesidad de llevar a cabo una EIPD

La EIPD debe realizarse, en general,  cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, y en particular, cuando se realicen

-Operaciones de tratamiento que implican llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se basen en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente o perjudiquen de alguna manera.

-Tratamientos a gran escala relativos a alguna categoría especial de datos, y/o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

-Tratamientos que supongan un control sistemático, o monitorización, a gran escala de áreas de acceso al público, en su caso, utilizando dispositivos optoelectrónicos.

-Uso de tecnologías especialmente invasivas como la video vigilancia a gran escala, aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, biometría, técnicas genéticas, geolocalización o la utilización de radiofrecuencia (RFID).

-Tratamiento grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things), o el desarrollo y la construcción de ciudades inteligentes (Smart Cities)

Formar el equipo de trabajo que desarrollará la EIPD
  • Un representante con capacidad de decisión
  • El Delegado de Protección de Datos (DPD)
  • El responsable de seguridad
  • Representante cualificado del departamento TIC
  • Representante de las áreas de negocio o departamentos a los que más afecte el proyecto dentro de la organización
  • Experto en protección de datos perfil jurídico
  • Experto en protección de datos perfil técnico
Alcance la EIPD y Organización del trabajo (plazos, recursos y tareas)

Descripción del proyecto

Información y documentación

Flujos de información

DESCRIBIR EL TRATAMIENTO

Se deben describir las operaciones de tratamiento previstas, los fines del tratamiento, y cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

La EIPD debe establecer:

  • El alcance y necesidad de la EIPD
  • Personal afectado por la EIPD
  • Los fines y medios del tratamiento previsto.
  • Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
  • Los datos de contacto del DPD.
  • Las medidas de control necesarias para tratar los riesgos identificados”
  • Cualquier otra información que solicite la Autoridad de Control.

Como punto de partida, requiere plantearse las siguientes cuestiones:

¿Qué se va a hacer con los datos y con qué finalidad?

Se debe analizar qué se prevé realizar con los datos y los medios mediante los cuales se realizará el tratamiento, así como identificar las diferentes finalidades para las cuales se quieren tratar los datos.

¿Qué datos se van a tratar? ¿Son necesarios todos ellos? ¿De quién son los datos a tratar?

Se deben identificar todos los datos que puedan ser objeto de tratamiento:

  • nombre, apellidos, dirección, datos de salud, correo electrónico o imágenes
  • su necesidad para la finalidad con la que se recogen
  •  el origen o la fuente de los mismos (clientes, potenciales clientes, empleados, pacientes, redes sociales, fuentes externas, etc.)
Base legitimadora en la que se basa el tratamiento

Supuestos en los que se considera que el tratamiento de datos personales es lícito:

  1. Se  cuenta  con  el  consentimiento  del  interesado para los fines específicos del tratamiento. Cuando la base de licitud del tratamiento es el consentimiento del interesado, el responsable del tratamiento  debe  poder  garantizar  y  demostrar  que  ha  obtenido  el  consentimiento  inequívoco  y libre.
  2. El tratamiento es necesario para:
  • la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas pre contractuales.
  • el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
  • proteger  intereses  vitales  del  interesado  o  de  otra  persona física
  • el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  • la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan  los  intereses  o  los  derechos  y  libertades  fundamentales  del  interesado  que  requieran la protección de datos personales, en particular cuando el interesado sea un niño.

El interés legítimo se puede utilizar como base de licitud de un tratamiento «siempre que no prevalezcan los intereses o los derechos y libertades de la persona interesada» y teniendo en cuenta las expectativas razonables de las personas afectadas por el tratamiento, basadas en la relación que tienen con el responsable del tratamiento.

El uso del interés legítimo como base de licitud del tratamiento debe ser evaluado adecuadamente, tomando en consideración que cuando la licitud del tratamiento se basa en el interés legítimo del responsable del tratamiento (o de un tercero), hay que sopesar estos intereses y los de las personas que se verán afectadas.

EVALUAR LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO

Seguidamente, es necesario realizar una evaluación de la necesidad y proporcionalidad de las operaciones de  tratamiento con respecto a su finalidad.

  • El principio de “minimización de datos” establece que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados”
  •  “Los datos personales sólo se deben tratar si la finalidad del tratamiento no se puede hacer razonablemente por otros medios”, es decir, sin tratar datos personales.
  • “Las finalidades tienen que estar definidas de manera determinada, explícita y legítima”.
  • “Cualquier tratamiento de datos personales tiene que ser lícito y leal”. Este punto está unido al análisis de las finalidades establecidas en el tratamiento y su supuesto legitimador.
  • “Los datos personales tienen que ser adecuados, pertinentes y limitados a lo necesario para los fines para los cuales se tratan”.
  • “El plazo de conservación se limite a un mínimo estricto”.

La proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas (de manera cuantitativa o cualitativa), haciendo uso de otras tecnologías menos invasivas o bien aplicando otros procedimientos o medios de tratamiento (modificando los inicialmente previstos), etc.

Las autoridades de protección de datos a menudo señalan que para comprobar si un tratamiento supone una medida restrictiva de un derecho fundamental, este debe superar los tres puntos del llamado juicio de proporcionalidad:

  • Juicio de idoneidad: si la medida puede conseguir el objetivo propuesto.
  • Juicio de necesidad: si, además, es necesario, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
  • Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

En definitiva, a nivel práctico, se debe responder de manera argumentada a dos preguntas:

¿El tratamiento, tal y como está definido, es necesario para la finalidad prevista?

¿Las actividades de tratamiento son proporcionales a las finalidades previstas?

Si al evaluar estos aspectos, se concluye que el diseño del tratamiento no cumple con alguno de estos dos principios, tal y como recoge el artículo 39 del RGPD, «Los datos personales sólo se tratarán si la finalidad del tratamiento no se puede hacer razonablemente por otros medios», este tratamiento no se debe llevar a cabo y será necesario reformular o rediseñar dicho tratamiento.

EVALUACION Y GESTION DE RIESGOS

Identificación de Riesgos

En esta etapa inicial del proceso de gestión de riesgos se deben identificar los potenciales escenarios de riesgo que pueden afectar negativamente a los derechos y libertades de las personas derivados de un inadecuado tratamiento de sus datos.

El riesgo es la exposición a amenazas, por tanto, como punto de partida, es fundamental entender qué es una amenaza y cómo se puede identificar escenarios de riesgo a partir de la misma.

¿Qué es una amenaza?

Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento.

¿Qué tipos de amenazas hay?

-De forma general:

  • Desastres naturales:
  • Fuego, agua, desastres ambientales…
  • Errores y fallos:
  • Destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información…
  • Ataques intencionados: Hacking, phishing, malware, robo…
  • Incumplimiento normativo: Incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento…

-Si ponemos foco en la protección de los datos, las amenazas se pueden categorizar principalmente en 3 tipos en base a la tipología de daño que pueden producir en los datos:

  • Acceso ilegitimo a los datos  confidencialidad
  • Modificación no autorizada de los datos  integridad
  • Eliminación de los datos  disponibilidad
¿Cómo identificar amenazas?

Para identificar de forma adecuada las amenazas asociadas a las actividades de tratamiento, se debe tener en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza.

Identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.

Ejemplos de amenazas en función de su tipología:

  • Acceso ilegítimo a los datos
  •  Perdidas de dispositivos móviles
  •  Fuga de información
  •  Acceso intencionado por parte de personal no autorizado
  •  Ataques intencionados (hacking, suplantación de identidad, etc.)
  •  Uso ilegítimo de datos personales
  • ¿Los dispositivos móviles y de almacenamiento están cifrados?
  • ¿Existen métodos para extraer la información durante la operación de tratamiento?
  • ¿Está expuesta la información al acceso por parte de terceros no autorizados?
  • ¿Existe un mecanismo para dar acceso a los datos únicamente al personal autorizado?
  • ¿La operación de tratamiento es susceptible de ataques de hacking? ¿es susceptible de ataques de phishing o de otros métodos de suplantación de identidad?
  • ¿Existe una adecuada gestión de la configuración de los parámetros de seguridad de los elementos (elementos de red, SO y BBDD)
  • ¿Existe una base legitimadora para la actividad de tratamiento? ¿Las finalidades de las actividades de tratamiento son necesarias y proporcionales?
  • Modificación no autorizada de los datos
  •  Ataque para la suplantación de identidad
  •  Errores en los procesos de recopilación y captura de información
  •  Modificación no autorizada de datos intencionada
  •  Uso ilegítimo de datos personales
  • ¿Existen credenciales o mecanismos de control que limiten el acceso a personal no autorizado? ¿Se revisa periódicamente la actividad realizada por los usuarios cuando acceden a los sistemas?
  • ¿Existen controles sobre la integridad de la información durante el proceso de captura de datos? ¿Se identifica adecuadamente al interesado que proporciona los datos?
  • ¿Los datos son modificables únicamente por el personal autorizado?
  • ¿La actividad de tratamiento sobre los datos es acorde a las finalidades para las cuales existe una base legitimadora?
  •  ¿Se puede realizar un perfilado o una operación de tratamiento que no esté alineada con las finalidades de la operación de tratamiento?
  • Eliminación de los datos
  •  Corte de suministro eléctrico o fallos en servicios de comunicaciones
  •  Error humano o ataque intencionado que provoca borrado o pérdida de datos
  •  Desastres naturales
  • ¿Un fallo de suministro eléctrico puede implicar la pérdida de datos?
  • ¿Un fallo en los servicios de comunicaciones puede ocasionar una pérdida de datos?
  • ¿Los datos pueden ser eliminados únicamente por el personal autorizado? ¿Existen copias de seguridad?
  • ¿Están los sistemas que almacenan datos en ubicaciones expuestas a la posibilidad de que se produzca un desastre natural?
  • ¿Existe réplica de los datos en diferentes ubicaciones?
¿Qué es un riesgo?

Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas.

El nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.

Para  evaluar  un  riesgo  es  necesario  considerar  todos  los  posibles  escenarios  con  los  que  el  riesgo se haría efectivo, incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

¿Cómo relacionar los riesgos con las amenazas?

Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar.

Evaluación de riesgos

La evaluación de riesgos consiste en valorar y estimar la probabilidad y el impacto de que el riesgo se materialice

Como punto de partida, es necesario haber definido el criterio que se seguirá a la hora de valorar los riesgos.

Los criterios para cuantificar los riesgos, estimar el nivel de impacto y su probabilidad, se pueden basar en estándares o se pueden definir a criterio de la organización.

A la hora de definir los criterios para cuantificar los riesgos es importante destacar que, la diferencia  principal  entre  la  EIPD  y  los  análisis  de  riesgos  tradicionales  que  una  entidad  suele  realizar, reside en que la EIPD se realiza desde “el punto de vista del interés del sujeto” mientras que los análisis de riesgos se realizan desde el punto de vista del “riesgo para la entidad”.

A continuación, se describen una serie de conceptos necesarios para poder evaluar los riesgos, así como, un método estandarizado para estimar y valorar el impacto y la probabilidad asociados a un riesgo.

¿Qué es el riesgo inherente y cómo se calcula?

El riesgo inherente es el riesgo intrínseco de cada actividad, sin tener en cuenta las medidas de control que mitigan o reducen su nivel de exposición.

El riesgo inherente surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice.

El cálculo del riesgo inherente se realiza mediante la siguiente fórmula:

La  probabilidad  se  determina  en  base  a  las  posibilidades  que  existen  de  que  la  amenaza se materialice.

A continuación, se presenta una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134), aunque cada entidad podrá utilizar la metodología que mejor se ajuste a sus circunstancias (por ejemplo, el uso de alguna de las metodologías de riesgos internas).

Riesgo = Probabilidad X Impacto

Escala de posibles valores para el cálculo de la probabilidad:
  • Probabilidad  despreciable: La posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
  • Probabilidad limitada: La posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
  • Probabilidad significativa: La posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia).
  • Probabilidad  máxima: La posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).
El impacto

El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.

De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles:

  • Impacto despreciable: El impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).
  • Impacto limitado: El impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).
  • Impacto significativo: El impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
  • Impacto máximo: El impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).

El impacto asociado a un riesgo puede ser ocasionado por daños de diferente índole.

El daño

Para evaluar el impacto asociado a un riesgo, se recomienda realizar la evaluación considerando tres dimensiones diferentes de posibles daños que se pueden producir sobre el interesado:

  • Daño  físico: Conjunto de acciones que pueden ocasionar un daño en la integridad física del interesado.
  • Daño material: Conjunto de acciones que pueden ocasionar pérdidas económicas, de patrimonio, de empleo, etc.
  • Daño  moral: Conjunto de acciones que pueden ocasionar un daño moral o mental en el interesado, como una depresión, fobias, acoso, etc.

La escala de impacto dependerá del tipo y cantidad de daño o perjuicio causado. El valor final de impacto deberá ser solo uno por riesgo, entre las cuatro posibilidades. A continuación, se pueden ver ejemplos prácticos de cada uno de los niveles de impacto en todas sus magnitudes:

Ejemplos de posibles daños físico, material o moral

Despreciable: Los interesados no se verán prácticamente afectados o encontrarán alguna pequeña inconveniencia

  •  Molestias o irritación.
  •  Se incumplen obligaciones materiales sin perjuicios relevantes.
  •  No se priva de los derechos y libertades.

Limitado: Los interesados podrán encontrar inconveniencias no significativas

  • Estrés o padecimientos físicos menores.
  • Costes extra, denegación de acceso a algunos servicios o incumplimiento de obligaciones materiales con perjuicios económicos.
  • Se priva de los derechos y libertades de los interesados, por ejemplo, por difamación de un interesado por divulgación de datos personales.

Significativo:

  • Los interesados encontrarán consecuencias significativas, que deberían poder superar sin dificultades serias.
  • Empeoramiento del estado de salud o agresiones físicas.
  • Apropiación indebida de fondos, pérdida del empleo o incumplimiento de obligaciones materiales con perjuicios económicos relevantes.
  •  Se agrede contra los derechos y libertades de los interesados, por ejemplo, una citación judicial, entrar en una lista de morosidad o divulgación de datos personales con impacto significativo en la reputación del interesado.

Máximo: Los interesados encontrarán consecuencias significativas o incluso irreversibles, que podrán no llegar a superarse.

  • Agresiones físicas con consecuencias irreparables.
  • Asunción de una deuda inafrontable, imposibilidad de volver a trabajar o incumplimiento de obligaciones materiales con perjuicios económicos irreparables.
  • Se agrede significativamente contra los derechos y libertades de los interesados, por ejemplo, padecimiento psicológico con consecuencias a largo plazo o irreparables por la divulgación de datos sensibles.

Tomando como base las escalas de probabilidad e impacto, para poder determinar el riesgo inherente, es necesario asignar valores a cada uno de los niveles de las escalas de probabilidad e impacto. La escala de valores comprende desde el valor 1, en el caso de que la magnitud sea despreciable, hasta el valor 4 en el caso donde la magnitud es máxima:

  • Despreciable
  • Limitado
  • Significativo
  • Máximo

Si se enfrentan la probabilidad y el impacto, se forma una matriz de riesgo, tal y como se puede ver a continuación:

Si se establece un valor numérico a la probabilidad y otro valor al impacto, según la escala de valores definida, se obtiene una posición en la matriz de riesgos que se corresponde con el riesgo inherente resultado de aplicar la fórmula de estimación del riesgo. El resultado del riesgo inherente se puede considerar en los siguientes niveles en función del valor obtenido:

  •  Bajo: Si el valor resultante se sitúa entre los valores 1 y 2.
  •  Medio: Si el valor resultante es mayor de 2 y menor o igual que 6.
  •  Alto: Si el valor resultante es mayor que 6 y menor o igual que 9.
  •  Muy Alto: Si el valor resultante es mayor que 9.

Considerando los criterios establecidos, si se deseara valorar un riesgo, por ejemplo, al añadir valores numéricos a la probabilidad y al impacto, ante un riesgo con probabilidad limitada (2) e impacto significativo (3), el nivel de riesgo inherente será medio (2 x 3 = 6).

Riesgo inherente

Durante la fase de evaluación de riesgos, se debe realizar este ejercicio para cada una de las amenazas identificadas, considerando los riesgos asociados, el impacto y la probabilidad de que se materialice y determinando su riesgo inherente.

Para poder estimar y valorar el riesgo, es necesario tener contexto sobre la exposición a la que se somete el riesgo.

Supongamos una aplicación móvil con almacenamiento en la nube que captura datos a través de weareables (dispositivos como un reloj o pulsera), además de permitir la introducción manual de datos de salud por parte del usuario.

  • La finalidad de la actividad de tratamiento es monitorizar la actividad del usuario y recomendar  hábitos  de  vida  saludables.
  • La  aplicación  móvil  no  dispone  de  medidas  de  control de acceso, ni de detección de malware, además no se realizan copias de seguridad de los datos.
  • Adicionalmente, durante la fase de registro del usuario no se solicita consentimiento expreso para ninguna finalidad adicional a la mencionada.

MEDIDAS PREVISTAS PARA AFRONTAR LOS RIESGOS

La última etapa del proceso de gestión de riesgos consiste en definir la respuesta o las medidas necesarias para tratar el riesgo y reducir su nivel de exposición.

Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento.

¿Qué alternativas existen para reducir o mitigar un riesgo?

El nivel de riesgo se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte. Existen cuatro medidas diferentes para tratar el riesgo:

  • Reducción  del  riesgo: Para reducir el nivel de riesgo, se deben establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente.
  • Retención del riesgo: Si el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales.
  • Transferencia  del  riesgo:  Consiste  en  compartir  un  riesgo  con  una  organización  externa. Se puede transferir el riesgo a una aseguradora que afronte las posibles consecuencias materiales. Sin embargo, se ha de considerar que, en ocasiones, la transferencia de riesgos puede generar otros riesgos. Por ello, la transferencia puede generar la necesidad de análisis adicionales.
  • Anulación del riesgo: Si el riesgo es muy elevado y no se quiere asumir el mismo, se puede decidir abandonar la actividad de tratamiento.

Las medidas  de  control  tienen  como  objetivo  mitigar  o  minimizar  el  riesgo  asociado  a  una  operación de tratamiento.

Es importante destacar que el objetivo principal de una EIPD no es eliminar completamente el riesgo asociado a las actividades de tratamiento, lo que se pretende es reducir el mismo hasta un nivel aceptable para poder llevar a cabo las mismas garantizando los derechos y libertades de los interesados.

Medidas de control

Durante el proceso de definición de las medidas de control se debe considerar de forma independiente cada riesgo identificado y establecer tantas medidas de control como sean necesarias hasta lograr un nivel de riesgo aceptable.

Existen diversos tipos de medidas de control, por ejemplo:

  • Organizativas: Medidas asociadas a procedimientos, a la organización y gobierno de la entidad. En esta tipología de medidas se pueden incluir los procedimientos para ejercer los derechos de los interesados, protocolos para gestionar vulnerabilidades e incidentes, etc.
  • Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulas para recogida de consentimientos expresos, etc.
  • Técnicas: Medidas que permiten velar por la seguridad física y lógica de los activos de información. Por ejemplo, controles de acceso, cifrado, etc.
Riesgo residual

¿Qué es el riesgo residual y cómo se calcula?

El riesgo residual es el riesgo de cada actividad una vez se hayan aplicado las medidas de control para mitigar y/o reducir su nivel de exposición.

A diferencia del riesgo inherente, el riesgo residual contempla las medidas de control definidas sobre la actividad de tratamiento para valorar la probabilidad y/o el impacto asociado al riesgo.

Para evaluar el riesgo residual, se debe estimar de nuevo la probabilidad y el impacto considerando las medidas de control definidas.

Por ejemplo, ante un riesgo de acceso no autorizado por parte de terceros en un proceso de autenticación, el hecho de establecer un usuario y una contraseña asignados al usuario (cumplimiento con políticas de control de acceso e identificación), reduce significativamente la probabilidad de que un tercero pueda realizar un acceso no autorizado. En este caso, la medida de control reduce la probabilidad de ocurrencia del riesgo y, por tanto, minimiza el riesgo residual asociado.

Ejemplo práctico de estimación del riesgo residual:

  • Ciclo  de  vida  del  dato  (fase  almacenamiento):
  • Almacenamiento  de  datos  de  clientes  en  dispositivos móviles.
  • Amenaza: Pérdida del dispositivo móvil.
  • Riesgo: Acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
  • Riesgo residual  = Probabilidad X Impacto
  • Impacto: Violación de derechos fundamentales (Significativo).
  • Probabilidad: Se puede producir cada vez que el usuario no tiene en su poder el dispositivo móvil (Significativa).
  • Riesgo inherente: Impacto x Probabilidad  x  =  (Riesgo alto).
  • Medidas de control: Método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y pseudonimización de los datos.
  • Eficacia del control: Reduce la probabilidad a despreciable, debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable, debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
  • Riesgo residual: Impacto x Probabilidad  x = (Riesgo bajo)

PLAN DE ACCION

Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable.

Se recomienda que el plan de acción incluya al menos los siguientes campos de información:

  • Control
  • Descripción del control
  • Responsable de implantación
  • Plazo de implantación

Para la ejecución del plan de acción, se deben considerar dos posibilidades:

La EIPD se ha hecho sobre un nuevo tratamiento.

La EIPD se ha hecho sobre un tratamiento ya existente.

En el primer caso, el plan de acción obtenido se deberá considerar durante la fase de definición de requerimientos de la actividad de tratamiento (privacidad desde el diseño).

Si la EIPD se ha realizado sobre un tratamiento ya existente, se debe lanzar un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual.

El responsable del tratamiento debe establecer un plazo máximo en el cual se deben implantar las medidas de control incluidas en el plan de acción.

En caso de superar el plazo establecido, considerando que el riesgo residual actual del tratamiento no es aceptable, el responsable del tratamiento puede exigir que se interrumpa el tratamiento hasta la implantación de las medidas correspondientes.

La  conclusión  de  la  EIPD  debe  realizarse  basándose  en  el  nivel  de  riesgo  residual  obtenido  durante la fase de gestión de riesgos, valorando si este es elevado o se considera aceptable y dentro de unos límites razonables.

Si la conclusión de la EIPD, no es favorable, se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable.

Si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la Autoridad de Control.

COMUNICACIÓN Y CONSULTA A LA AUTORIDAD DE CONTROL

“El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo”.

Como criterio general, siempre y cuando el resultado de la EIPD suponga que el riesgo residual del tratamiento es alto o muy alto, el responsable del tratamiento debe realizar una consulta a  la  Autoridad  de  Control  mediante  los  canales  de  comunicación  establecidos.  La  consulta  a  la Autoridad de Control y en virtud de lo que se detalla en el apartado 3 del artículo 36 del RGPD, deberá incluir la siguiente información:

  • Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento.
  • Si la conclusión de la EIPD es favorable, la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.

Se recomienda realizar un proceso de supervisión durante la fase de implantación con el objetivo de garantizar y validar que las medidas de control definidas en el plan de acción han sido implantadas correctamente.

INFORME

 Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:

  • Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.
  • Resumen del informe con indicación de los resultados.
  • Introducción y descripción general del proceso de evaluación.
  • Resultado del análisis de necesidad de la evaluación y su justificación.
  • Descripción general del proyecto.
  • Descripción detallada de los flujos de datos personales.
  • Riesgos identificados.
  • Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.
  • Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.
  • Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.

SUPERVISION Y REVISION DE LA IMPLANTACION

La EIPD permite determinar las medidas de control necesarias para tratar los riesgos identificados, sin embargo, no deja de ser un ejercicio teórico que requiere su puesta en práctica de  forma  íntegra  para  garantizar  los  derechos  y  las  libertades  de  los  interesados.

Es  fundamental  que  se  realice  una  adecuada  supervisión  y  una  posterior  revisión  de  la  implantación  de las medidas de control definidas en la EIPD para reducir el riesgo inherente hasta un riesgo residual que permita llevar a cabo el tratamiento garantizando los derechos y libertades de las personas físicas.

A nivel práctico, es recomendable que una figura delegada supervise y garantice que las medidas de control definidas durante la EIPD se implantan adecuadamente antes de llevar a cabo las  actividades  de  tratamiento  de  datos  de  carácter  personal  por  parte  del  responsable  del  tratamiento.

La EIPD debe quedar documentada:

La metodología empleada

Cada entrada y salida que se produzca

Las reuniones de mayor importancia que se celebren y los resultados

Con ello se permite acreditar cada paso y decisión tomada de cara a posibles revisiones internas o comprobaciones por las autoridades y organismos competentes.

Gestiona Abogados