Metodología para la realización de una Evaluación de Impacto en la Protección de Datos.
Antes del inicio de la EIPD, debemos considerar los siguientes factores:
- ¿Quién debe estar involucrado? (Recursos necesarios y el equipo de trabajo involucrado en la ejecución). Es necesario definir quién va a realizar la EIPD y que figuras o personas se van a involucrar en la ejecución de la misma (por ejemplo, el área responsable del tratamiento realizará la EIPD con el asesoramiento del DPD y del área de seguridad de la información).
- ¿Qué tareas se deben realizar y cómo? (Metodología, actividades a desarrollar e hitos temporales asociados)
- ¿Qué y cómo documentar el proceso llevado a cabo? (Documentación de análisis, conclusiones y plan de acción)
La documentación de las tareas, análisis y evaluaciones realizadas, así como las conclusiones obtenidas, deben ser documentadas.
Es importante mantener trazabilidad de las acciones realizadas y disponer de una base que justifique las conclusiones o decisiones tomadas.
La búsqueda de objetividad es un principio fundamental en una EIPD.
Es fundamental disponer de un proceso sistemático a través de una metodología o procedimiento estandarizado de trabajo que permita establecer criterios comunes para garantizar la homogeneidad, repetitividad y comparabilidad en la ejecución de una EIPD.
Contexto del tratamiento
Describir el ciclo de vida de los datos
El análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Como punto de partida, es necesario conocer en detalle todo el ciclo de vida y el flujo de los datos personales a través del mismo y todos los actores y elementos que intervienen durante las actividades de tratamiento desde su inicio hasta su fin.
Como resultado de esta etapa, se debe obtener una visión en detalle que permita facilitar la identificación de las amenazas y los riesgos a los que están expuestos los datos de carácter personal asociados al mismo.
Adicionalmente a la descripción del tratamiento, se debe obtener una descripción clara de los elementos que intervienen en cada una de las fases del ciclo de vida de los datos del tratamiento.
El ciclo de vida de los datos se puede dividir en las siguientes etapas:
Captura de datos:
Proceso de obtención de datos para su almacenamiento y posterior procesado. Dentro de la captura de datos se pueden encontrar diversas técnicas, como por ejemplo: formularios web, formularios en papel, la toma de muestras y realización de encuestas, grabaciones de audio y video, fuentes externas o públicas como redes sociales, captación mediante sensores, etc.
Clasificación / Almacenamiento:
Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.
Uso / Tratamiento:
Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.
Cesión de los datos a un tercero para su tratamiento:
Traspaso o comunicación de datos realizada a un tercero (toda persona física o jurídica, pública o privada u órgano administrativo).
El concepto de cesión o comunicación es muy amplio, puesto que la revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos.
Destrucción:
Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes.
Adicionalmente, para cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento, se deben identificar todos los elementos involucrados en cada una de las etapas.
Podríamos clasificar los elementos involucrados en las siguientes categorías:
- Etapa del tratamiento
- Actividades u operaciones
- Tecnología Interviniente
- Dato
Es necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.
Intervinientes
Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en las actividades de tratamiento.
Se deben identificar a las personas físicas o jurídicas que, de manera individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento de los datos de carácter personal.
la hora de identificar a los diferentes intervinientes, es necesario tener en cuenta todos los flujos de información de los datos previstos en el tratamiento.
Los intervinientes en el tratamiento deben estar identificados y tener delimitadas sus funciones y responsabilidades.
Dentro del grupo de los intervinientes se puede incluir el responsable del tratamiento, áreas o empleados de las organizaciones que participan activamente del procesado de los datos, encargados de tratamiento, etc.
La participación de cada uno de los intervinientes puede suponer una amenaza sobre los datos de carácter personal.
Tecnología
La tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de los datos de carácter personal.
Se deben identificar aquellos elementos tecnológicos que intervienen en las actividades de tratamiento de los datos de carácter personal a un alto nivel, sin llegar entrar en un análisis tecnológico pormenorizado.
Dentro de cada etapa se debe identificar el hardware y el software que sea relevante desde la perspectiva del tratamiento de los datos de carácter personal.
Las tecnologías están expuestas a diferentes riesgos, por ello, es fundamental realizar una adecuada identificación de todos los elementos tecnológicos que intervienen a lo largo del ciclo de vida de los datos asociados al tratamiento.
Se debe identificar la tecnología (cloud, BBDD, servidores), aplicaciones, dispositivos y técnicas empleadas en el procesamiento de los datos.
Por último, no hay que olvidar que, si alguna actividad del proceso implica el tratamiento no automatizado de los datos, lo hemos de identificar como una técnica más de tratamiento y se debe inventariar como un activo más.
Respecto al contenido mínimo en las EIPD:
-Una evaluación de los riesgos para los derechos y las libertades de los interesados.
-Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Identificar y evaluar los riesgo son las tareas iniciales del proceso de gestión de riesgos.
Asegurar la correcta identificación de los riesgos a los que están expuestas las actividades de tratamiento es una parte clave para poder realizar una evaluación completa. La no identificación de riesgos implica que estos no se evalúan y no se tratan, y el tratamiento podría estar más expuesto al potencial riesgo.
Las siguientes actividades permiten establecer las bases para la identificación y evaluación de los riesgos:
-Identificar el origen de los riesgos, es decir, analizar los potenciales escenarios de riesgo a los que pueden estar expuestos los datos personales.
Por ejemplo, un tratamiento que incluya un almacenamiento en la nube, es un escenario con exposición a riesgos que pueden implicar la pérdida de confidencialidad y disponibilidad, entre otros.
–El análisis de las situaciones que generan riesgo, teniendo en cuenta los factores y características que pueden entrar en juego a la hora de determinar el nivel de riesgo que implican. Continuando con el anterior ejemplo, en un tratamiento que incluya un almacenamiento basado en la nube, un potencial acceso no autorizado a los datos en caso de un ataque cibernético o la pérdida de los mismos ante ausencia de medios de respaldo ante un fallo en las bases de datos que soportan la nube, podrían ser situaciones que generan riesgo y que se deben considerar en el análisis.
–La valoración de los riesgos, teniendo en cuenta la probabilidad de que un evento no deseado se produzca y el impacto que puede tener (consecuencias).
Ante el riesgo de acceso no autorizado a los datos, si no disponemos de medidas de control que limite el acceso a la nube, la probabilidad de que se materialice el riesgo será elevada y su impacto, en función de los datos almacenados, también podría ser elevado.
-El último paso del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan disminuir la probabilidad y/o impacto de que estos se materialicen.
