Contenido y metodología de la Evaluación de impacto según el Reglamento General de Protección de Datos (RGPD) y la Agencia Española de Protección de Datos (AEPD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
- Una descripción sistemática de la actividad de tratamiento previstas.
- Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
- Una evaluación de los riesgos.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
El artículo 35, apartado 7, del RGPD establece que la evaluación de impacto en el tratamiento de protección de datos ha de incluir, como mínimo:
- Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas previstas para:
- Afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
- Demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
Como se establece en los apartados 8 a 11, del artículo 35 del RGPD, en la EIPD también se tendrá en cuenta:
- El cumplimiento de los códigos de conducta aprobados por los responsables o encargados correspondientes al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados.
- Que el responsable puede recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
- Que se exceptúa de todo lo expuesto en los puntos anteriores (apartados 1 a 7 del art. 35 RGPD) el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, regulado de forma específica por normas europeas o estatales, salvo que los EEMM consideren necesario proceder a dicha evaluación previa a las actividades de tratamiento.
- El responsable examinará, cuando sea necesario, si el tratamiento es conforme con la EIPD, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Se ha de seguir una EIPD desde un punto de vista del interés del sujeto interesado, no focalizado en el interés de la entidad y el riesgo al que se puede ser sometido. En la evaluación será importante hacer una valoración de los riesgos, en base a la probabilidad de los mismos y su impacto, siguiendo una metodología que no se concreta por ley, por lo que será adaptada o personalizada por cada identidad de tratamiento de datos.
Valoración del riesgo como punto de partida en la EIPDa) Valoración del riesgo inherente
RIESGO= PROBABILIDAD X IMPACTO |
- El impacto se refiere al conjunto de consecuencias que tendría el evento dañoso (riesgo inherente) en caso de que se acabase materializando.
- La probabilidad es la frecuencia con la que teóricamente se podría llegar a producir el riesgo al no haber controles que la mitiguen. Se determina en base a las posibilidades que existen de que la amenaza se materialice.
Sirviendo de ejemplo, y apoyándonos en la citada Guía práctica de la AEPD, presentamos una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134):
- Escala de posibles valores para el cálculo de la probabilidad (numerándolos según el nivel de gravedad):
- Probabilidad despreciable (1): la posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
- Probabilidad limitada (2): la posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
- Probabilidad significativa (3): la posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia).
- Probabilidad máxima (4): la posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).
- El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa. De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles (numerándolos según el nivel de gravedad):
- Impacto despreciable (1): el impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).
- Impacto limitado (2): el impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).
- Impacto significativo (3): el impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
- Impacto máximo (4): el impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).
- De lo anterior se concluye un posible daño:
- Daño físico: acciones que afecten a la integridad física del interesado.
- Daño material: acciones que producen pérdidas económicas, de patrimonio, de empleo, etc.
- Daño moral: acciones que ocasionan daño moral o mental en el interesado, depresión, fobias, acoso, etc.
- Si aplicamos los numéricos anteriores conforme a la fórmula establecida, nos dará una serie de resultados, que permitirá la siguiente clasificación del riesgo inherente:
- Muy alto.
- Alto.
- Medio.
- Bajo.
Y, ¿cuál sería el tratamiento o respuesta ante estos riesgos? La AEPD nos ofrece cuatro medidas diferentes:
- Reducción del riesgo: establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente. Las medidas de control se focalizan en mitigar o minimizar el riesgo en un tratamiento de datos personales. En una EIPD no se pretende eliminar completamente el riesgo, sino reducir el mismo hasta un nivel aceptable para poder garantizar y respetar los derechos y libertades de los interesados. Estas medidas de control pueden ser:
- Organizativas: procedimientos, organización, gobierno de la entidad, protocolos para gestionar vulnerabilidades, etc.
- Legales: medidas asociadas al cumplimiento normativo (por ejemplo: cláusulas para recogida de consentimientos expresos).
- Técnicas: medidas que permiten velar por la seguridad física y lógica de los activos de información (por ejemplo: controles de acceso o cifrado).
- Retención del riesgo: cuando el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales.
- Transferencia del riesgo: se comparte el riesgo con una organización externa. Por ejemplo, se transfiere el riesgo a una aseguradora para que afronte las posibles consecuencias materiales, aunque ello también puede suponer otros riesgos siendo necesario otros análisis adicionales.
- Anulación del riesgo: si el riesgo es muy elevado y no se quiere asumir, se puede decidir abandonar la actividad de tratamiento.
b) Valoración del riesgo residual
El riesgo residual es el que afecta a cada actividad una vez se hayan aplicado las medidas de control para mitigar o reducir su nivel de exposición. La fórmula es la misma que para el riesgo inherente:
RIESGO RESIDUAL= PROBABILIDAD X IMPACTO |
Tomando como fuente la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, un ejemplo práctico de estimación del riesgo residual (y tomando la numeración recogida en el punto anterior, establecido según el nivel de gravedad):
- Ciclo de vida del dato (fase almacenamiento): almacenamiento de datos de clientes en dispositivos móviles.
- Amenaza: pérdida del dispositivo móvil.
- Riesgo: acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
- Impacto: violación de derechos fundamentales (significativo —3—) .
- Probabilidad: cada vez que el usuario no tiene en su poder el dispositivo móvil (significativa—3—).
- Riesgo inherente: impacto (—3—) x probabilidad(—3—) = 9 (riesgo alto).
- Medidas de control: método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y pseudonimización de los datos.
- Eficacia del control: reduce la probabilidad a despreciable —1— , debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable —1— , debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
- Riesgo residual: impacto (—1—) x probabilidad (—1—) = 1 (riesgo bajo).
CUESTIÓN
¿Debe consultarse a la autoridad de control el resultado del riesgo residual?
Siguiendo lo recogido en el artículo 36 del RGPD, el responsable debe consultar a la autoridad de control antes de proceder al tratamiento, cuando la EIPD muestre que el tratamiento entraña un alto riesgo en el caso de no tomarse medidas para mitigarlo. Es lo que se denomina como consulta previa.
Plan de acción del EIPDSiguiendo la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, se debe elaborar un plan de acción. El plan de acción es el conjunto de iniciativas que deben llevarse a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable. Este plan debería incluir, al menos, alguno de los siguientes campos de información:
- Control y su descripción.
- Responsable de implantación.
- Plazo de implantación.
Respecto a la ejecución, se tendrá en cuenta si:
- La EIPD se ha hecho sobre un nuevo tratamiento: el plan de acción se debe considerar durante la fase de definición de requerimientos de la actividad de tratamiento.
- La EIPD se ha hecho sobre un tratamiento ya existente: debe lanzarse un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual y, el responsable del tratamiento establecerá un plazo máximo para implantar las medidas de control.
La evaluación del nivel de riesgo total del tratamiento se obtiene a partir del resultado de la evaluación del nivel de riesgo para cada uno de los factores de riesgo identificados en el tratamiento. Dicha evaluación podrá ser:
- No favorable: en estos casos se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable. Si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la autoridad de control.
- Favorable: la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia ADMINISTRATIVO Nº 1624/2020, TS, Sala de lo Contencioso, Sec. 3, Rec 6531/2019, 27-11-2020
Orden: Administrativo Fecha: 27/11/2020 Tribunal: Tribunal Supremo Ponente: Bandres Sanchez-cruzat, Jose Manuel Num. Sentencia: 1624/2020 Num. Recurso: 6531/2019
-
Sentencia Supranacional Nº C-272/19, TJUE, 09-07-2020
Orden: Supranacional Fecha: 09/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-272/19
-
Sentencia Administrativo TS, Sala de lo Contencioso, Sec. 6, Rec 23/2008, 08-02-2012
Orden: Administrativo Fecha: 08/02/2012 Tribunal: Tribunal Supremo Ponente: Trillo Alonso, Juan Carlos Num. Recurso: 23/2008
-
Sentencia Administrativo TS, Sala de lo Contencioso, Sec. 6, Rec 25/2008, 08-02-2012
Orden: Administrativo Fecha: 08/02/2012 Tribunal: Tribunal Supremo Ponente: Trillo Alonso, Juan Carlos Num. Recurso: 25/2008
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Evaluación de impacto relativa a protección de datos (comunidad de propietarios)
Fecha última revisión: 08/07/2021
La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:Llevanza de un registro de actividades de tratamiento.Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecu...
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
Medidas de seguridad o de salvaguarda de la información en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
El RGPD instaura un sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantiz...
-
Clases de operaciones sobre protección de datos realizadas por abogados y procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
Son tratamientos de:Datos relativos al funcionamiento del despacho: contabilidad, videovigilancia en las instalaciones, el personal que desempeñe labores en el despacho...Datos de clientes (también los de turno de oficio), incluyendo aquí también...
-
Informe final sobre riesgos existentes y necesidad de realización de Evaluación de impacto. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
INFORME FINAL SOBRE RIESGOS EXISTENTES Y NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO)FECHA: [FECHA]REALIZADO POR: [NOMBRE_EMPRESA]De conformidad con lo dispuesto en el artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y ...
-
Informe final sobre riesgos existentes y ausencia de necesidad de realización de Evaluación de impacto (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
INFORME FINAL SOBRE RIESGOS EXISTENTES Y AUSENCIA DE NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS)FECHA: [FECHA]REALIZADO POR: [NOMBRE_EMPRESA]De conformidad con lo dispuesto en el artículo 28 de la Ley Orgánic...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Modelo de contestación al ejercicio del derecho de supresión. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 17/08/2021
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO]Delegado de Protección de datos: [ESPECIFIQUE AQUI, LOS DATOS DE CONTACTO DEL DELEGADO, INCLUYENDO, DIRECCION, TELEFONO, EMAIL, Y TODOS LOS DATOS QUE SEAN NECESARIOS PARA LA CO...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
-
Caso práctico: Conflicto entre publicidad registral y protección de datos personales
Fecha última revisión: 26/01/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
PLANTEAMIENTODoña XXX, de profesión abogada, presenta en el Registro Mercantil de su ciudad tres escritos solicitando la expedición de sendas certificaciones relativas a las siguientes sociedades: A (inscripciones 7.ª hasta la última), B (histo...
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 11 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Madrid nº 29, por la que deniega la expedición de una certificación del historial completo de determinada finca registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 11/06/2018
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018