‘La Evaluación de Impacto en materia de Protección de Datos (I)’, por María González, asociada senior de Information Technology de ECIJA.

La evaluación o análisis de impacto en materia de protección de datos de carácter personal es una obligación que se incluirá en el Reglamento de Protección de Datos Comunitario, que se encuentra actualmente en fase de aprobación, si bien se trata de una práctica que cada día más es implantada en las organizaciones para gestionar la privacidad desde el diseño (Privacy by Design) y al suponer una herramienta más de valoración de los riesgos corporativos.

La evaluación de riesgos en materia de protección de datos o PIAC -Privacy Impact Analysis-  es una obligación que se prevé se incluya en el futuro Reglamento Comunitario de Protección de datos Personales que se encuentra actualmente en tramitación, y que refuerza el principio de Privacy by Design (o privacidad desde el diseño), cuya implantación actual en las entidades se ha convertido en una nueva herramienta para la valoración de los riesgos corporativos. Además, el pasado 14 de marzo, la AEPD presentó durante su IV Jornada Abierta Anual, el Borrador de la Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)[1], objeto de someterlo, hasta el próximo 25 de abril, a una consulta pública[2] para su aprobación definitiva

¿En qué consiste la Privacy Impact Analysis (PIAC) o Evaluación de Impacto en materia de Protección de Datos (EIPD)?

Realizar un Privacy Impact Analysis o Evaluación de Impacto en materia de Protección de Datos no es más que prever desde el diseño de un determinado producto, servicio o sistema de información, y los tratamientos de datos personales que vayan a efectuarse, los impactos y riesgos que los mismos pueden suponer en la privacidad de los interesados. Para ello se trata de realizar un análisis de los riesgos derivados de los citados sistemas de información, productos o servicios en relación con la privacidad de los interesados cuyos datos personales son tratados, y el impacto que dichos tratamientos tienen en relación con el cumplimiento de la normativa sobre protección de datos personales por parte de la entidad así como los riesgos que suponen para esta en términos económicos, reputacionales, etc.

Así entendemos por riesgo, la probabilidad de que ocurra un incidente que cause un impacto con un determinado daño en los sistemas, o dicho de otro modo, la probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad de los sistemas.

La realización de una Evaluación de Impacto en materia de protección de datos cobra especial importancia en los casos en que se prevean la realización de tratamientos de datos personales como;

– Enriquecimiento de Datos.

– Tratamiento de datos de menores de edad, sobre todo si estos son menores de 14 años.

– Tratamiento destinado a la evaluación o predicción de aspectos personales relevantes.

– Monitorización del comportamiento de las personas, por ejemplo a través del análisis de la navegación por Internet.

– Cuando se vayan a tomar decisiones que afecten a determinados colectivos y que puedan suponer algún tipo de discriminación.

– Cuando se vayan a utilizar tecnologías especialmente invasivas con la privacidad; video-vigilancia a gran escala, biometría, técnicas genéticas, RFID…

– Cuando el tratamiento afecte a un número elevado de personas y/o se produzca una acumulación de gran cantidad de datos.

– Cuando existen riesgos específicos de seguridad que puedan comprometer la confidencialidad, integridad o disponibilidad.

– Cuando se vayan a realizar tratamientos de datos personales en los que el responsable deje de tener control sobre ellos, como por ejemplo en la contratación de servicios Cloud.

Igualmente, en el caso de prever la realización de cesiones de datos, comunicaciones a terceros, transferencias internacionales de datos, tratamiento de datos especialmente sensibles, tratamientos con fines estadísticos, históricos o de investigación científica se hace recomendable la ejecución de un Análisis de Impacto.

El alcance y profundidad de las Evaluaciones o Análisis de Impacto realizados variarán en función de las características del proyecto así como del tipo y tamaño de la organización.

En la Evaluación de Impacto deberán abordarse y documentarse al menos los siguientes aspectos:

1. Resumen del proyecto / tratamiento, y sus características.

2. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.

3. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.

4. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.

5. Diagramas que incluyan los flujos de datos personales.

6. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

En las Evaluaciones de Impacto también deberán incluirse consulta a las partes afectadas (personal interno, proveedores, afectados, etc…). Estas consultas pueden efectuarse de diversas formas; entrevistas /reuniones de trabajo, cuestionarios, encuestas, etc…

Como consecuencia de la realización de dicho análisis se ejecutará un plan de gestión de los riesgos identificados a través de la adopción e implantación de las medidas necesarias para mitigar o eliminar el riesgo.

Tanto la Evaluación de Impacto como el Plan de Gestión de riesgos derivado, deberá ser revisado y auditado periódicamente al objeto de analizar su eficacia, la disminución o eliminación del riesgo derivado de la implantación de medidas, así como en su caso, proceder a la reevaluación de impacto y del riesgo y la previsión de medidas adicionales.

En próximos artículos desarrollaremos la ejecución de la Evaluación de Impacto y la gestión de los riesgos derivados.

Enlace al artículo: http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=650