Masters y MBA online y a distancia

Análisis de riesgos y evaluaciones de impacto

Análisis de riesgos y evaluaciones de impacto

Concepto y características

Probablemente la introducción de la obligación de llevar a cabo análisis de riesgos o evaluaciones de impacto en materia de privacidad es una de las principales novedades introducidas por la nueva normativa de protección de datos personales.

Una evaluación de impacto en la protección de datos personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Una EIPD es una herramienta que va más allá de una evaluación de cumplimiento normativo —aunque, obviamente, la verificación de dicho cumplimiento es una parte integral de cualquier EIPD— y que se adentra tanto en las expectativas de privacidad que tienen las personas ante cualquier tratamiento de sus datos personales como en las percepciones generales de la sociedad o, concretamente, de los colectivos más afectados por el tratamiento del que se trate.

Concretamente el RGPD establece que en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento.

De conformidad con el RGPD el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

Obligación de realizar la evaluación de impacto

De conformidad con lo dispuesto en el artículo 35 del RGPD, el responsable de fichero deberá realizar la evaluación de impacto de los procesos de tratamiento de datos personales siempre que se dé alguna de las siguientes situaciones, sin perjuicio de que dicho listado pueda ser ampliado por parte de las autoridades de control nacionales.

La Agencia Española de Protección de Datos:

  1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  2. Cuando se lleve a cabo la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  3. Cuando se realicen tratamientos de datos a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.
  4. Cuando se realice la observación sistemática a gran escala de una zona de acceso público.

Procedimiento para la realización de evaluaciones de impacto

Para llevar a cabo las evaluaciones de impacto, la AEPD hizo pública una completa guía que debe ser tomada como documento de referencia.

Concretamente la evaluación de impacto, de conformidad con el RGPD, deberá contar con los siguientes contenidos:

  1. Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el primer apartado.
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

La privacidad desde el diseño

Otra de las novedades normativas introducidas por parte del RGPD es el concepto de privacidad desde el diseño o Privacy by Design. Se trata de un concepto que, a pesar de ser novedoso en nuestro ordenamiento jurídico, fue introducido por parte de la Comisión de Protección de Datos de Canadá hace varios años y que la mayoría de agencias europeas habían venido tomando en consideración durante los últimos años.

Concretamente este concepto se fundamenta en siete principios básicos:

  1. Debe realizarse de forma proactiva y no reactiva, buscando siempre la prevención y la protección de los datos personales: la privacidad por diseño se anticipa a los riesgos antes de que se produzcan. Se trata de adoptar medidas que impidan que estos riesgos se materialicen y, por tanto, tiene un carácter preventivo, se trata de actuar antes, no después.
  2. Debe garantizarse siempre, por defecto, el máximo grado de privacidad: cualquier sistema ha de estar configurado de forma que, por defecto otorgue una mayor protección a la privacidad de las personas, de modo que no se comparta la información del usuario salvo que este realice una acción o cambie su configuración. La privacidad por defecto otorga un mayor control sobre la propia información ya que el usuario está protegido, aunque no haga ninguna acción y decide libremente cuándo, cómo y con quién comparte sus datos.
  3. Privacidad integrada en el diseño: la protección de la privacidad ha de estar integrada en el sistema desde el momento en que se diseña, sin que ello disminuya su plena funcionalidad. No se trata de una opción que se añade a posteriori, sino que es uno de sus componentes integrales.
  4. Funcionalidad: seguridad y privacidad no han de ser características excluyentes, sino que ambas han de estar garantizadas e integradas en cualquier sistema.
  5. Protección durante todo el ciclo de vida de los datos: la protección de la información se ha de configurar desde el momento en que se recaban los datos, durante todo su ciclo de vida hasta que son destruidos, garantizando también que se eliminen de forma segura y confidencial, respetando los periodos de retención establecidos.
  6. Transparencia: la entidad que trate los datos ha de estar sujeta a los términos y condiciones informados desde un principio, que no podrán modificarse sin el previo consentimiento del afectado. También podrá estar sujeto a una verificación independiente.
  7. Velar por los intereses del usuario como objetivo: el interés del individuo siempre ha de estar presente en el diseño y configuración de sistemas y aplicaciones, por ejemplo, mediante fuertes medidas de seguridad (encriptación, verificación en dos pasos, etc.), información completa y comprensible, opciones user-friendly, privacidad por defecto.

 

Valora este artículo del blog:
¿Cómo determinar el presupuesto de un proyecto?
El protocolo diplomático: el Cuerpo Consular
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Domingo, 19 Mayo 2019

ESCUELA INTERNACIONAL

Proyección Internacional, con alumnos y antiguos alumnos residentes en más de 38 países y sedes en América Latina

AYUDAS DIRECTAS AL ESTUDIO

Plan Internacional de Ayudas Global Learning con una dotación anual superior al millón de euros repartidas entre 1.000 alumnos

PROFESORADO UNIVERSITARIO Y DIRECTIVO

Contamos con un claustro de profesores de alto nivel académico y directivo, con más de 15 años de experiencia docente y profesional
CEUPE - Centro Europeo de Postgrado y Empresa