Hemos preparado este pequeño resumen sobre la Evaluación de Impacto extraído de la Guia de la AEPD. Esperamos que sea de utilidad para comprender mejor en que consiste esta herramienta.
Características del análisis
Debe llevarse a cabo con anterioridad a la implantación de un nuevo producto, servicio o sistema de información. También cuando uno existente vaya a sufrir cambios sustanciales que impliquen la posibilidad de la aparición de nuevos riesgos.
Debe permitir una identificación clara de los responsables de las distintas tareas.
Primera fase de identificación y clasificación de la información para determinar los datos personales que se tratan y sus características.
Debe identificar quién y cómo tendrá acceso y tratará los datos personales.
Debe contener una descripción de los controles que se implantarán. Para asegurar que solo se tratan los datos personales necesarios y para las finalidades legítimas previstas y definidas.
El resultado final debe ser un documento con un contenido mínimo y una estructura que deben definirse previamente.
Quién debería de realizarla
En relación con las situaciones en las que sería aconsejable llevar a cabo una evaluación de impacto, a continuación se incluye una relación indicativa de algunas de ellas:
- Cuando se lleve a cabo un tratamiento significativo no incidental de datos de menores o dirigido especialmente a tratar datos de estos, en particular si tienen menos de catorce años.
- Cuando se vaya a llevar a cabo un tratamiento destinado a evaluar o predecir aspectos personales relevantes de los afectados
- Como, por ejemplo, su estado de salud, fiabilidad o adecuación para tareas determinadas, situación financiera, laboral, social (en particular, en relación con la concesión de beneficios o subsidios), familiar (estructura familiar, datos de menores…), su ideología, creencias, formación, gustos, aficiones, compras, etc
- Si el tratamiento afecte a un número elevado de personas o, se produzca la acumulación de gran cantidad de datos.
- Cuando se cedan o comuniquen los datos personales a terceros y, en particular, siempre que se pongan en marcha nuevas iniciativas que supongan compartir datos personales con terceros que antes no tenían acceso a ellos, ya sea entregándolos, recibiéndolos o poniéndolos en común de cualquier forma.
- Cuando la recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos.
Contenido mínimo de la Evaluación de Impacto
Algunos apartados básicos que deberían abordarse y documentarse en esta fase son los siguientes:
- Un resumen del proyecto con sus principales características, incluyendo una descripción de su necesidad u oportunidad para la organización.
- Identificación de aquellos aspectos del proyecto especialmente relevantes para la privacidad y susceptibles de generar más riesgos o de dificultar el cumplimiento normativo.
- Una descripción detallada de:
a. Los medios de tratamiento y de las tecnologías que se utilizarán y, en particular, de aquellas que introduzcan mayores riesgos para la privacidad.
b. Las categorías de datos personales que se van a tratar, finalidades para las que se usarán cada una de ellas, necesidad de su utilización y colectivos afectados.
c. Quién accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
d. Los flujos de información: recogida, circulación dentro de la organización, cesiones fuera de la misma y recepciones de datos personales procedentes de otras organizaciones
- Si resulta necesario, incluir información y diagramas adicionales. Ilustrando aspectos como el control de acceso o la conservación o destrucción de los datos personales.
2 Comentarios
¿Esto es lo que se conoce como auditoría RGPD? ¿O estoy confundiendo conceptos? Gracias de antemano.
Hola demaco.es
Nos tememos que es diferente. La Auditoría GPRD consiste en una averiguación de la situación de un negocio desde la óptica del cumplimiento de la normativa de protección de datos al objeto de determinar el grado y nivel de cumplimiento para implementar las actuaciones que proceda en función de dicha situación y las exigencias legales por las que esté afectado dicho negocio. Una de esas actuaciones puede ser la necesidad de elaborar una Evaluación de Impacto.
Cuando concurren ciertas circunstancias en el tratamiento de datos según mencionábamos en el artículo, que clasifican el tratamiento como de alto riesgo, pueden darse ocasiones donde la Ley obligue u otras donde pueda ser recomendable en orden a las buenas practicas empresariales, realizar esta evaluación. La evaluación consiste en un análisis detallado del riesgo que implica el citado tratamiento de alto riesgo evaluando las consecuencias de que se produzcan deficiencias en el tratamiento. Y sobre ese análisis establecer los procedimientos y medidas de actuación para preparar el negocio ante dicho riesgo. Este proceso deberá ser llevado a cabo por un comité permanente que reevalue los resultados de la Evaluación de Impacto de manera cíclica y continua adaptando el negocio a la evolución del riesgo.
Esperamos haberos aclarado la diferencia, pero estamos a vuestra disposición si necesitaseis más detalles.