La Evaluación de Impacto en materia de Protección de Datos (II)

'La Evaluación de Impacto en materia de Protección de Datos (II)', por María González, asociada senior de Information Technology de ECIJA.

El pasado mes de abril publicábamos un artículo donde analizabamos en que consiste la Evaluación de Impacto en materia de Protección de Datos, por lo que en el presente artículo analizaremos, desde el punto de vista práctico, cómo las entidades pueden realizar la Evaluación de Impacto en aquellos tratamientos que puedan suponer un impacto para la privacidad de los interesados, y un riesgo para el cumplimiento de lo establecido en la normativa en materia de protección de datos de carácter personal para las entidades.

La Evaluación de Impacto en la práctica. Fases

La ejecución de una Evaluación de Impacto se llevará a cabo a través de la ejecución de 3 fases: Preparación, Desarrollo y Documentación, a las que habrá que sumar una Revisión y Reevaluación periódica a lo largo de la vida del proyecto.

Durante la Fase de Preparación será evaluada la necesidad de realizar la evaluación de impacto, se recabará la información previa sobre el proyecto, se definirá un grupo de trabajo y la estrategia de ejecución.

En la Fase de Desarrollo, se llevarán a cabo, tras el análisis de información previa, las entrevistas y auditorias de los puntos de control que sean necesarios para llevar a cabo un análisis con la profundidad requerida (que dependerá de la sensibilidad que se haya determinado en el alcance), en la que se evaluarán aspectos claves como:

a) Legitimación de los tratamientos y cesiones de datos personales. Se deberán analizar los aspectos relativos al consentimiento obtenido y requerido en función de las finalidades de tratamiento y la categoría de datos tratados.

b) Transferencias Internacionales de Datos. Si en el proyecto se prevé la realización de este tipo de comunicaciones, deberán analizarse la legitimidad de las mismas, los requisitos para su legitimidad, etc.

c) Transparencia de los tratamientos – Información a los afectados. Un aspecto clave en todo tratamiento de datos personales es la información clara y transparente al afectado acerca de los mismos, dando cumplimiento además a lo establecido en el art. 5 LOPD. En este punto deberá analizarse y evaluarse la información facilitada a los usuarios en la obtención de datos, o la información que habrá de facilitarse si estos datos aún no han sido obtenidos.

d) Calidad de Datos. En relación con las categorías de datos tratados deberá evaluarse su adecuación al principio de calidad de datos; que los datos obtenidos y tratados no sean excesivos en relación con la finalidad de tratamiento; que los datos son actuales y puestos al día; que se hayan definido plazos de conservación, etc.

e) Datos especialmente protegidos. Si para el proyecto se prevé la obtención y tratamiento de datos especialmente protegidos deberán evaluarse los requisitos que acrediten su legitimidad, así como las medidas de seguridad que serán requeridas para su protección.

f) Encargados de tratamiento. Si en el proyecto se prevé la participación de terceras entidades en el tratamiento de los datos personales por cuenta del responsable del fichero deberán regularse convenientemente estas relaciones con los encargados de tratamiento, a través de los correspondientes contratos de prestación de servicios donde se establezcan de forma clara y concreta las instrucciones a seguir por el encargado en el tratamiento de datos personales, las medidas de seguridad a implantar, así como otras cautelas a tener en cuenta.

g) Seguridad. En función de la tipología de datos tratados, la finalidad del tratamiento, y los sistemas de información, y la determinación del nivel de seguridad (básico, medio y alto) deberán implantarse y evaluarse las medidas de seguridad técnicas y organizativas necesarias para la protección de los datos personales tratados.

h) Otros aspectos a tener en cuenta; el deber de secreto de todos los intervinientes en el proyecto, la correcta Inscripción de ficheros en la Agencia Española de Protección de Datos y la adopción de procedimientos específicos para la atención de los Derechos ARCO.

Dentro de la fase de desarrollo también, y en el caso de estimarse conveniente, se llevará a cabo la consulta a las partes afectados por el proyecto. Las consultas se extenderán tanto al personal de la organización implicado en el desarrollo del proyecto, como a los terceros afectados por el tratamiento y que puedan tener un impacto en su privacidad. La realización de estas consultas, sobre todo a los titulares de los datos, deberá ser realizada por la entidad llevando a cabo de forma previa una estrategia de comunicación que permita la obtención de los resultados obtenidos por la organización.

Evaluados los aspectos relativos al cumplimiento normativo, determinados y analizados los riesgos del proyecto, se desarrollará un Plan de Gestión de Riesgos Identificados donde se establecerán las acciones a ejecutar en función de si el riesgo quiere ser evitado, eliminado, mitigado (siempre en el caso de que el riesgo suponga un incumplimiento normativo), o cuando el mismo quiera ser transferido o aceptado.

Por último y durante la Fase de Documentación, se desarrollarán los documentos requeridos para garantizar que la evaluación de impacto ejecutada que no sólo permitirá su conocimiento en el momento determinado de su ejecución, sino que permitirá también su reevaluación periódica.

Como ya comentamos, en la Evaluación de Impacto deberán documentarse, por tanto, al menos los siguientes aspectos, en base a las informaciones, datos y riesgos analizados durante las fases precedentes:

1. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc... Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
2. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
3. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
4. Diagramas que incluyan los flujos de datos personales.
5. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

Elaborado el Plan de Evaluación de Impacto, ¿qué debemos hacer?

Siguiendo lo establecido en la Evaluación de Impacto y el Plan de Gestión de Riesgos, la entidad deberá proceder a laImplantación de las Recomendaciones en función de la prioridad que se haya establecido que vendrá determinada por el riesgo identificado. Las recomendaciones podrán consistir en la ejecución de medidas o acciones y la implantación de sistemas, pudiendo ser éstas de carácter tecnológico, organizativas, contractuales, etc.

Por último, es de vital importancia, siguiendo el ciclo de mejora continua que se exige en el abordaje de sistemas gestión de seguridad y cumplimiento normativo, la Reevaluación y Revisión periódica tanto de la Evaluación de Impacto como del Plan de Gestión de Riesgos durante toda la vida del proyecto.

*Borrador de la Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD) , disponible a través del siguiente enlace. **Acceso consulta pública sobre la Guía de Evaliación del Impacto en la Protección de Datos personales.

Enlace al artículo: http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=653