1. Inicio
  2. Temas
  3. Administrativo
  4. 2019

Contenido y metodología de la Evaluación de impacto según el Reglamento General de Protección de Datos (RGPD) y la Agencia Española de Protección de Datos (AEPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019
A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:
  1. Una descripción sistemática de la actividad de tratamiento previstas
  2. Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
  3. Una evaluación de los riesgos
  4. Las medidas previstas para afrontar los riesgos , incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

La realización de una EIPD requerirá por tanto la utilización de una metodología que permita cumplir los requerimientos mínimos exigidos por el Reglamento. Pues bien, este contenido esencial se encuentra regulado en el artículo 35.7, RGPD, que expresamente señala: «La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1,

y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.»

Asimismo, en el caso de que a los tratamientos evaluados se les aplicase un código de conducta, su cumplimiento también debe ser objeto de la evaluación, en tanto el código incluya previsiones sobre las evaluaciones de impacto.

 

La valoración del impacto tiene por objeto –en esencia- hacer la valoración de la necesidad y proporcionalidad de las operaciones de tratamiento. En este sentido, resulta necesario atender a lo dispuesto en el considerando 39 del RGPD: «Los datos personales sólo se deben tratar si la finalidad del tratamiento no se puede hacer razonablemente por otros medios». Pues bien, sobre la valoración del resultado, atendiendo a los dos criterios señalados la AEPD ha indicado que:

- En cuanto a determinar la necesidad de llevar a cabo un tratamiento, el concepto no se tiene que interpretar de una manera demasiado amplia, ya que esto puede llevarnos a la conclusión de que el tratamiento es necesario en todos los casos, puesto que da respuesta o está vinculado a un objetivo relacionado con la actividad del responsable del tratamiento; tampoco se tiene que abordar con exceso de literalidad, ya que complicaría la justificación del tratamiento.

- Respecto de la finalidad del tratamiento, se deben recordar los elementos esenciales, es decir: las finalidades tienen que estar definidas de manera determinada, explícita y legítima. Así mismo, debemos tener en cuenta lo que recoge el considerando 39 del RGPD: «Cualquier tratamiento de datos personales tiene que ser lícito y leal»; por lo tanto, el punto de partida será que la finalidad se ajuste a estos requisitos. En todo caso, se debe determinar si se cumple el requisito de necesidad, tanto en relación a la actividad del responsable del tratamiento como en relación a la finalidad del mismo tratamiento.

 

Según la AEPD, en su Guía Práctica para las Evaluaciones de Impacto en la Protección de los datos sujetas al RGPD, antes del inicio de la EIPD, debemos considerar los siguientes factores:

- Recursos necesarios y equipo involucrado en la ejecución

- Metodología, actividades a desarrollar e hitos temporales asociados

- Documentación de análisis, conclusiones y plan de acción

Además nos proporcionan un ejemplo de metodología compuesto por estas 3 secciones diferenciadas, que se desglosan, a su vez, en diferentes tareas:

- Contexto
    - Describir el ciclo de vida de los datos (asociados al tratamiento y a las entidades participantes)
    - Analizar la necesidad y proporcionalidad del tratamiento
- Gestión de riesgos
    - Identificar amenazas y riesgos
    - Evaluar los riesgos
    - Tratar los riesgos
- Conclusión
    - Plan de acción
    - Informe de conclusiones
 
Se incluirá también una sección de comunicación y consulta que será de aplicación en exclusiva en aquellos casos donde el resultado de la EIPD conlleve un riesgo elevado para los derechos y libertades de los interesados y sea necesario activar el procedimiento de Consulta Previa ante la autoridad de control.
 
Con respecto a las bases para la identificación y evaluación de los riesgos, en la misma guía, la AEPD indica las siguientes actividades que permiten sentar dichas bases cuyo objetivo, en última instancia, es tratar los riesgos para disminuir el nivel de exposición, la probabilidad y/o impacto de que estos se materialicen:
- Identificar el origen de los riesgos, es decir, analizar los potenciales escenerios de riesgo a los que pueden estar expuestos los datos personales,
- El análisis de las situaciones que generan riesgo, teniento en cuenta los factores y características que pueden entrar en juego a la hora de determinar el nivel de riesgo que implicar, y
- La valoración de los riesgos, teniendo en cuenta la probabilidad de que un evento no deseado se producta y el impacto que puede tener (consencuencias).

 

Adicionalmente a las fases que componen una EIPD, es recomendable que exista un proceso de supervisión y revisión de la implantación o puesta en marcha del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción. La EIPD debe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento. Ante cambios en la descripción del tratamiento o en la experiencia que muestre amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control. En caso de que los cambios sobre el tratamiento no sean significativos, y no generen por tanto nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.

No hay versiones para este comentario

Evaluación de impacto en protección de datos
Datos personales
Actividades de tratamiento de datos
Protección de datos
Responsable del tratamiento
Medidas de seguridad
Interés legitimo
Evaluación de riesgos
Código de conducta
Amenazas
Tratamiento de datos personales
Ciclo de vida de los datos
Autoridad de control de datos
Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Libros y cursos relacionados