¿Qué es la Evaluación de Impacto?
El RGPD ( Reglamento General de Protección de Datos) en su artículo 35 introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos.
Una EIPD es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Esta obligación debe entenderse en el contexto de la responsabilidad proactiva y la obligación general de gestionar adecuadamente los riesgos y demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento de los requisitos exigidos por el RGPD.
El resultado de la misma se debe tener en cuenta a la hora de tomar la decisión de la viabilidad o no de llevar a cabo el tratamiento de los datos.
¿Quién debe realizar una Evaluación de Impacto?
El artículo 35.2 del RGPD establece que “El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos”
Corresponde al responsable del tratamiento realizar una Evaluación de Impacto, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos.
Existen varias figuras, con diferentes roles y responsabilidades, que pueden participar en la realización de una Evaluación de Impacto, entre estas figuras. La matriz RACI es un método utilizado en la gestión de proyectos para relacionar actividades con individuos o equipos de trabajo.
RACI establece las siguientes figuras de responsabilidad:
- Responsible (R): Responsable de realizar la tarea.
- Accountable (A): Responsable de que la tarea se realice, sin necesidad de ser el que la ejecute y responsable de rendir cuentas sobre su ejecución.
- Consulted (C): Figura que debe ser consultada para la realización de la tarea.
- Informed (I): Figura que debe ser informada sobre la realización de la tarea.
Factores a tener en cuenta antes de realizar una Evaluación de Impacto
- ¿Quién debe estar involucrado? Se deben identificar los recursos necesarios y el equipo de trabajo. Es necesario definir quién va a realizar la Evaluación de Impacto y que figuras o personas se van a involucrar en la ejecución de la misma.
- ¿Qué tareas se deben realizar y cómo? Se debe identificar la metodología y las actividades a desarrollar. Una Evaluación de Impacto puede constar de varias fases, por tanto, es importante tener claro cuáles son cada una de ellas y los objetivos y tareas que se deben conseguir en cada una.
- ¿Qué y cómo documentar el proceso llevado a cabo? Incluye el análisis, conclusiones y plan de acción. La documentación de las tareas, análisis y evaluaciones realizadas, así como las conclusiones obtenidas, deben ser documentadas.
¿Qué debe incluir una Evaluación de Impacto?
El artículo 35.7 del RGPD establece que la evaluación deberá incluir como mínimo:
- una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
- una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
- una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
- las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Fases de una Evaluación de Impacto
- Análisis preliminar
- Analizar la necesidad de realizar la Evaluación de Impacto
- Contexto
- Describir el ciclo de vida de los datos – Identificar los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
- Analizar la necesidad y proporcionalidad del tratamiento – Analizar la base de legitimación, la necesidad y proporcionalidad del tratamiento así como la finalidad.
- Gestión de Riesgos
- Identificar amenazas y riesgos – Identificar las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento
- Evaluar los riesgos – Evaluar la probabilidad y el posible impacto en el caso de materializarse los riesgos.
- Tratar los riesgos – Respuesta ante los riesgos con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable.
- Conclusión y Validación
- Plan de acción y conclusiones – Debe documentarse el resultado obtenido junto con el plan de acción, incluyendo las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades.
- Supervisión
- Supervisar y revisar la implantación – Es recomendable que exista un proceso de supervisión y revisión de la implantación. La Evaluación de impacto es un proceso de mejora continua por lo que debe revisarse siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.
Donde prestamos nuestro servicio de implantación Evaluación de Impacto (EIPD)
Prestamos nuestro servicio de implantación de Evaluación de Impacto (EIPD) en Tenerife, La Gomera, La Palma, El Hierro, Las Palmas de Gran Canaria, Lanzarote y Fuerteventura (Islas Canarias), A Coruña (Santiago de Compostela), Ourense, Lugo y Pontevedra (Vigo) (Galicia), Madrid y Barcelona, así como en toda España peninsular e insular, Ceuta y Melilla.