¿Qué son las “evaluaciones de impacto sobre la protección de datos”?

Tras las vacaciones volvemos a la carga con una duda que me surgió el otro día. Me encontraba leyendo una noticia sobre la que se hablaba de “evaluaciones de impacto sobre la protección de datos” y me pregunté, ¿Qué es una Evaluación de Impacto sobre la Protección de Datos?

Las Evaluaciones de impacto sobre la protección de datos (PIA) son, siguiendo una definición formal, “una metodología para evaluar el impacto en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de datos personales y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos” (Wright, D., De Hert, P. Privacy Impact Assessment. Springer (2012)). De una forma más llanera, podemos definirlas como un análisis de los riesgos hacia datos personales que puedan surgir de un producto o servicio y la posterior gestión de dichos riesgos para que, mediante la adopción de las medidas necesarias, los mismos se vean mitigados o eliminados.

Mientras que, hasta el momento, las PIA son y han sido optativas, a partir de la entrada en vigor del Reglamento General de Protección de Datos (el 25 de Mayo de 2018) [aún nos queda un tiempo], en ciertas ocasiones serán obligatorias. Así lo dispone su art. 35.1, en el que indica que deberá realizarse un PIA “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas“.
Ante una definición tan abstracta, el apartado 3 del artículo desarrolla en qué casos concretos deberá realizarse un PIA:
“a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público

Por lo tanto, en estos casos será obligatorio realizar un PIA. A modo de resumen, los pasos para realizar un PIA serían:

  1. Analizar qué datos se verán afectados por el tratamiento, qué riesgos pueden existir para los datos y qué daños se causarían si el riesgo se materializara.
  2. Determinar qué medidas y/o controles se deben adoptar para mitigar los riesgos que existan.
  3. Analizar que el proyecto cumple con toda la normativa de protección de datos.
  4. Realizar un informe en el que se identifiquen los riesgos, se indiquen las medidas para mitigarlos y los responsables de implantar las medidas.

 

Muy interesante resulta el apartado 2 de dicho artículo, en el que, trayendo a colación la figura del DPO, nos indica que “el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al llevar a cabo la evaluación de impacto relativa a la protección de datos“.

Como conclusión, una PIA es una herramienta que nos permite analizar la afección a datos personales que pueda surgir de un nuevo proyecto, preveiendo qué riesgos pueden surgir para dichos datos y qué medidas deberán aplicarse para mitigar o suprimir tales riesgos. Si bien es cierto que, hoy en día, no es obligatoria, a partir del próximo 25 de Mayo de 2018 pasará a serlo para ciertos proyectos. Personalmente creo que es una muy buena medida a adoptar a fin que un proyecto o servicio, antes de ser lanzado, sea evaluado y pueda así asegurarse, en mayor medida, la protección de nuestros datos personales.

impacto

 


BIBLIOGRAFÍA:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf
Comparte este post en las Redes SocialesEmail this to someoneShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Deja un comentario