Con las nuevas normativas de protección de datos es necesario analizar los riesgos de cada empresa para poder gestionarlos correctamente y evitar o contener posibles fugas de información.
Las nuevas normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) o la actualizada LOPDGDD, exigen procedimientos exhaustivos para proteger la información personal de clientes, trabajadores, proveedores, usuarios y empleados, entre otros. Por ello, además del registro de actividades, en el que se detallan qué datos se tratan, con qué finalidades lo hacen y qué tipo de tratamientos se llevan a cabo; una de las acciones más importantes para cualquier empresa es la Evaluación de Impacto de Protección de Datos (EIPD), también conocida como PIA por sus siglas en inglés (Privacy Impact Assessment).
La EIPD, descrita por la Agencia Española de Protección de Datos (AEPD), es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.
De esta forma, las empresas podrán determinar la estrategia a seguir para proteger la información de forma adecuada, para así prevenir los riesgos y, si fuera necesario, contener y minimizar el impacto en caso de que se produzca un incidente o una fuga de información.
Muchas empresas, por sus labores o por ser grandes compañías, ya tenían implantada una cultura de evaluación de riesgos antes de GDPR. Estos procedimientos podrían seguir siendo válidos si se adaptan a las exigencias de la normativa europea. De lo contrario, deberían ser modificados para cumplir con dichos preceptos.
La Evaluación de Impacto según GDPR
La normativa europea explica que debe realizarse una EIPD o PIA cuando sea probable que un tipo de tratamiento entraña un alto riesgo para los derechos y libertades de las personas físicas. Sobre todo si se utilizan las nuevas tecnologías, pero también por la naturaleza del dato, el alcance del tratamiento o su contexto o fines.
Más concretamente, GDPR especifica que la evaluación de impacto se exige al menos, cuando se evalúan de forma sistemática y exhaustiva los aspectos personales de un individuo, incluyendo la elaboración de perfiles. También cuando se tratan datos sensibles a gran escala o cuando se observa, también a gran escala, una zona pública.
De esta forma, el responsable del tratamiento debe realizar esta evaluación antes de que se realice dicho procedimiento, asesorado por el delegado de protección de datos (DPO, por sus siglas en inglés). El DPO, según explica la AEPD, tan solo debe participar como una figura asesora, considerando que entre sus funciones debe responder a las consultas que surjan y monitorizar el proceso.
Fases de una EIPD o PIA según GDPR
Según el artículo 35.7 de GDPR, una Evaluación de Impacto de Protección de Datos debe incluir como mínimo una descripción sistemática de las actividades previstas de tratamiento, así como una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad, una evaluación de los riesgos, las medidas previstas para afrontar dichos riesgos (incluyendo garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales), la estructura con las diferentes etapas de una EIPD, y el flujo a seguir en la ejecución de la misma.
En una primera fase se determinará el contexto de la Evaluación de Impacto. Para ello se describirá el ciclo de vida de los datos, identificando la información tratada, los intervinientes, terceros, los sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento. Después de esto, se analizará la necesidad y la proporcionalidad del tratamiento, examinando la base de legitimación (bajo qué contexto se están tratando los datos, como por ejemplo el consentimiento), la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
La segunda fase abarca la gestión de los riesgos. Para ello, primero se identificarán las potenciales amenazas y riesgos a los que están expuestas las actividades de tratamiento. Después de esto se realizará una evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización, estableciendo un nivel de criticidad para cada amenaza.
Hecho esto, deben tratarse los riesgos identificados. Se dará respuesta a los mismos con el objetivo de minimizar la probabilidad y el impacto de que se materialicen hasta un nivel de riesgo aceptable que permite garantizar los derechos y libertades de las personas de las cuales se están tratando sus datos.
Finalmente, se realizarán las conclusiones y validaciones. En un informe se documentará el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados.
Después de la realización de una Evaluación de Impacto…
Además de la EIPD, cuando una empresa ha determinado los riesgos a los que se enfrenta debe revisar las medidas de seguridad y establecer nuevos mecanismos y procesos para realizar los correspondientes planes de actuación y contingencia, así como un proceso de notificación que cumpla con los plazos establecidos por GDPR.
También es recomendable, según indica la AEPD, que exista un proceso de supervisión y revisión de la implantación o puesta en marcha del nuevo tratamiento. El objetivo es garantizar la implantación de las medidas de control descritas en el Plan de acción, pues la EIPD debe entenderse como un proceso de mejora continua, de forma que se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.
