Evaluación de Impacto en Protección de Datos

En Maniacs te ofrecemos la realización de una Evaluación de Impacto en Protección de Datos o EIPD, tanto en la provincia de Castellón como en la provincia de Valencia. Nuestros profesionales  DPD o Delegados de Protección de Datos cuentan con amplios conocimientos en la elaboración de una Evaluación de Impacto en Protección de Datos o EIPD. Lo recomendable es la realización de una versión privada con todos los puntos básicos posteriormente detallados y otra versión pública, que será un elemento diferenciador, por lo menos en los primeros años del RGPD, esta versión pública de la Evaluación de Impacto en Protección de Datos o EIPD la podremos comunicar a través de la página web o de otros elementos de comunicación de la empresa, organismo o administración pública, nos permitirá ganar notoriedad de marca, demostrar el principio de “Accountability” descrito en le propio Reglamente Europeo de protección de datos y que los clientes o usuarios tengan la certeza que hay un trabajo realizado en aras de proteger sus datos de carácter personal. Evidentemente habrá que limitar la Evaluación de Impacto en Protección de Datos o EIPD en versión pública, para evitar riesgos en materia de seguridad. A continuación les detallamos los puntos básico a incluir cuando realizamos una Evaluación de Impacto en Protección de Datos o EIPD.

Los criterios mínimos aceptables para una Evaluación de Impacto en Protección de Datos o EIPD para el cumplimiento del RGPD:

  • Proporcionar una descripción sistemática de la transformación (artículo 35 (7) (a)):
    • Naturaleza, el alcance, el contexto y fines del tratamiento se tienen en cuenta (considerando 90)
    • Datos personales, los destinatarios y el período para el que se almacenarán y se almacenarán los datos personales
    • Se proporcionará una descripción funcional de las operaciones de tratamiento
    • Los activos sobre los que se basan los datos personales (hardware, software, redes, personas, papel o canales de transmisión de papel) son identificados.
    • Se tendrán en cuenta el cumplimiento de los códigos de conducta (artículo 35 (8))
  • Se evaluará la necesidad y proporcionalidad (artículo 35 (7) (b)):
    • Se determinan las medidas previstas para cumplir con el Reglamento (Artículo 35 (7) (d) y el considerando 90), teniendo en cuenta:
    • Medidas que contribuyan a la proporcionalidad y la necesidad del procesamiento sobre la base de:
      • Especificado, explícito y legítimo (s) (artículo 5 (1) (b))
      • Legalidad del tratamiento (artículo 6)
      • Adecuados, pertinentes y limitados a lo que es los datos necesarios (artículo 5 (1) (c))
      • Duración de almacenamiento limitada (artículo 5 (1) (e))
    • Medidas que contribuyan a los derechos de los titulares de los datos:
      • Información proporcionada al sujeto de los datos (artículos 12, 13 y 14)
      • Derecho de acceso y de la portabilidad de datos (artículos 15 y 20)
      • Derecho de rectificación y a borrado (artículos 16, 17 y 19)
      • Derecho de objeto y a la restricción del tratamiento (artículo 18, 19 y 21)
      • Relaciones con los procesadores (artículo 28)
      • Salvaguardias que rodean transferencia internacional (s) (capítulo V)
      • Consulta previa (artículo 36)
  • Riesgos para los derechos y libertades de los interesados son administrados (artículo 35 (7) (c)):
    • Origen, naturaleza, particularidad y la gravedad de los riesgos son apreciados (cf. considerando 84) o, más específicamente, para cada riesgo (acceso ilegítimo, modificación no deseada, y desaparición de datos) desde la perspectiva de los sujetos de los datos:
      • Fuentes riesgos se tienen en cuenta (considerando 90)
      • Impactos potenciales a los derechos y libertades de los interesados se identifican en caso de eventos incluyendo el acceso ilegítimo, modificación no deseada y desaparición de los datos
      • Amenazas que podrían conducir al acceso ilegítimo, la modificación no deseada y desaparición de datos son identificados
      • Probabilidad y la gravedad se estiman (considerando 90)
    • Se determinan las medidas previstas para tratar esos riesgos (artículo 35 (7) (d) y el considerando 90)
  • Partes interesadas están involucrados:
    • Se solicitó el asesoramiento de la DPD (Artículo 35 (2))
    • Se buscan los puntos de vista de los interesados o sus representantes, en su caso (Artículo 35 (9))

 

Introducción a la Evaluación de Impacto de Protección de Datos

El Reglamento (UE) 2016/6791 (RGPD) se aplicará a partir del 25 de mayo de 2018. El artículo 35 del RGPD introduce el concepto de evaluación de impacto relativa a la protección de datos EIPD, al igual que la Directiva (UE) 2016/6803.
Una EIPD es un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos. Las EIPD son instrumentos importantes para la rendición de cuentas, ya que ayudan a los responsables no solo a cumplir los requisitos del RGPD, sino también a demostrar que se han tomado medidas adecuadas para garantizar el cumplimiento del Reglamento (véase asimismo el artículo 24). En otras palabras, una EIPD es un proceso utilizado para reforzar y demostrar el cumplimiento.

En virtud del RGPD, el incumplimiento de los requisitos de la EIPD puede dar lugar a la imposición de multas por parte de la autoridad de control competente. No llevar a cabo una EIPD cuando el tratamiento requiera una evaluación de este tipo (artículo 35, apartados 1, 3 y 4), llevar a cabo una EIPD de forma incorrecta (artículo 35, apartados 2, 7, 8 y 9) o no consultar a la autoridad de control competente cuando sea necesario [artículo 36, apartado 3, letra e)] puede dar lugar a una multa administrativa de hasta 10 millones EUR o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Ámbito de aplicación de  las directrices Evaluación de Impacto de Protección de Datos

Estas directrices tienen en cuenta:
– la Declaración 14/EN WP 218 del Grupo de Trabajo sobre protección de datos del artículo 29 (GT29);
– las Directrices del GT29 sobre el delegado de protección de datos, 16/EN WP 243;
– el Dictamen del GT29 sobre la limitación de la finalidad, 13/EN WP 203;
– normas internacionales.

En consonancia con el enfoque basado en el riesgo introducido por el RGPD, no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento. Solo se exige cuando sea probable que el tratamiento «entrañe un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35, apartado 1). A fin de garantizar una interpretación coherente de las circunstancias en las que resulta obligatoria una EIPD (artículo 35, apartado 3), las presentes directrices tienen como primer objetivo aclarar esta noción y ofrecer criterios para las listas que deben adoptar las autoridades de protección de datos (APD) en virtud del artículo 35, apartado 4.
Según el artículo 70, apartado 1, letra e), el Comité europeo de protección de datos (CEPD) podrá emitir directrices, recomendaciones y buenas prácticas a fin de promover la aplicación coherente del RGPD,. La finalidad de este documento es anticipar esa labor futura del CEPD y, por tanto, aclarar las disposiciones pertinentes del RGPD, para ayudar a los responsables del tratamiento a cumplir la legislación y ofrecer seguridad jurídica a aquellos que deben llevar a cabo una EIPD.
Estas directrices también pretenden fomentar el desarrollo de:

– una lista común de la Unión Europea de operaciones de tratamiento que requieren una EIPD (artículo 35, apartado 4);
– una lista común de la Unión Europea de operaciones de tratamiento que no requieren una EIPD (artículo 35, apartado 5);
– criterios comunes sobre la metodología utilizada para realizar una EIPD (artículo 35, apartado 5);
– criterios comunes para especificar cuándo se consultará a la autoridad de control (artículo 36, apartado 1);
– recomendaciones, si es posible, basadas en la experiencia adquirida en los Estados miembros de la UE.

 

Explicación del Reglamento de la Evaluación de Impacto de Protección de Datos

El RGPD requiere que los responsables del tratamiento apliquen medidas adecuadas para garantizar y poder demostrar el cumplimiento de dicho reglamento, teniendo en cuenta entre otros «los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas» (artículo 24, apartado 1). La obligación de los responsables del tratamiento de llevar a cabo una EIPD en determinadas circunstancias debe entenderse en el contexto de su obligación general de gestionar adecuadamente los riesgos derivados del tratamiento de datos personales.
Un «riesgo» es un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad. Por otra parte, la «gestión de riesgos» puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.
El artículo 35 se refiere a un probable alto riesgo «para los derechos y libertades de las personas». Como se indica en la declaración del Grupo de Trabajo sobre protección de datos del artículo 29 sobre la función de un enfoque basado en el riesgo de los marcos jurídicos sobre protección de datos, la referencia a «los derechos y libertades» de los interesados atañe principalmente a los derechos a la protección de datos y a la intimidad, pero también puede implicar otros derechos fundamentales como la libertad de expresión, la libertad de pensamiento, la libertad de circulación, la prohibición de discriminación, el derecho a la libertad y la libertad de conciencia y de religión.
En consonancia con el enfoque basado en el riesgo introducido por el RGPD, no resulta obligatorio realizar una EIPD en todas las operaciones de tratamiento. Por el contrario, solo se requiere «cuando sea probable que un tipo de tratamiento […] entrañe un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35, apartado 1). No obstante, el mero hecho de que las condiciones que dan lugar a la obligación de llevar a cabo una EIPD no se hayan cumplido no disminuye la obligación general de los responsables del tratamiento de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados. En la práctica, esto significa que los responsables deben evaluar continuamente los riesgos creados por sus actividades de tratamiento a fin de identificar cuando es probable que un tipo de tratamiento entrañe «un alto riesgo para los derechos y libertades de las personas físicas».

Solicite presupuesto