Contenido y metodología de la Evaluación de impacto según el Reglamento General de Protección de Datos (RGPD) y la Agencia Española de Protección de Datos (AEPD)

El artículo 35, apartado 7, del RGPD establece que la evaluación de impacto en el tratamiento de protección de datos ha de incluir, como mínimo:

• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
• Una evaluación de los riesgos para los derechos y libertades de los interesados.
• Las medidas previstas para:
  • Afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
  • Demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Como se establece en los apartados 8 a 11, del artículo 35 del RGPD, en la EIPD también se tendrá en cuenta:

• El cumplimiento de los códigos de conducta aprobados por los responsables o encargados correspondientes al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados.
• Que el responsable puede recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
• Que se exceptúa de todo lo expuesto en los puntos anteriores (apartados 1 a 7 del art. 35 RGPD) el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, regulado de forma específica por normas europeas o estatales, salvo que los EEMM consideren necesario proceder a dicha evaluación previa a las actividades de tratamiento. 
• El responsable examinará, cuando sea necesario, si el tratamiento es conforme con la EIPD, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Se ha de seguir una EIPD desde un punto de vista del interés del sujeto interesado, no focalizado en el interés de la entidad y el riesgo al que se puede ser sometido. En la evaluación será importante hacer una valoración de los riesgos, en base a la probabilidad de los mismos y su impacto, siguiendo una metodología que no se concreta por ley, por lo que será adaptada o personalizada por cada identidad de tratamiento de datos.

a) Valoración del riesgo inherente

• El impacto se refiere al conjunto de consecuencias que tendría el evento dañoso (riesgo inherente) en caso de que se acabase materializando.
• La probabilidad es la frecuencia con la que teóricamente se podría llegar a producir el riesgo al no haber controles que la mitiguen. Se determina en base a las posibilidades que existen de que la amenaza se materialice.

Sirviendo de ejemplo, y apoyándonos en la citada Guía práctica de la AEPD, presentamos una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134):

• Escala de posibles valores para el cálculo de la probabilidad (numerándolos según el nivel de gravedad):
  • Probabilidad despreciable (1): la posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
  • Probabilidad limitada (2): la posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
  • Probabilidad significativa (3): la posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia). 
  • Probabilidad máxima (4): la posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).
• El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa. De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles (numerándolos según el nivel de gravedad):
  • Impacto despreciable (1): el impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado). 
  • Impacto limitado (2): el impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado). 
  • Impacto significativo (3): el impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
  • Impacto máximo (4): el impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).
• De lo anterior se concluye un posible daño:
  • Daño físico: acciones que afecten a la integridad física del interesado.
  • Daño material: acciones que producen pérdidas económicas, de patrimonio, de empleo, etc.
  • Daño moral: acciones que ocasionan daño moral o mental en el interesado, depresión, fobias, acoso, etc. 
• Si aplicamos los numéricos anteriores conforme a la fórmula establecida, nos dará una serie de resultados, que permitirá la siguiente clasificación del riesgo inherente:
  • Muy alto.
  • Alto.
  • Medio.
  • Bajo.

Y, ¿cuál sería el tratamiento o respuesta ante estos riesgos? La AEPD nos ofrece cuatro medidas diferentes:

• Reducción del riesgo: establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente. Las medidas de control se focalizan en mitigar o minimizar el riesgo en un tratamiento de datos personales. En una EIPD no se pretende eliminar completamente el riesgo, sino reducir el mismo hasta un nivel aceptable para poder garantizar y respetar los derechos y libertades de los interesados. Estas medidas de control pueden ser:
  • Organizativas: procedimientos, organización, gobierno de la entidad, protocolos para gestionar vulnerabilidades, etc. 
  • Legales: medidas asociadas al cumplimiento normativo (por ejemplo: cláusulas para recogida de consentimientos expresos).
  • Técnicas: medidas que permiten velar por la seguridad física y lógica de los activos de información (por ejemplo: controles de acceso o cifrado).
• Retención del riesgo: cuando el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales. 
• Transferencia del riesgo: se comparte el riesgo con una organización externa. Por ejemplo, se transfiere el riesgo a una aseguradora para que afronte las posibles consecuencias materiales, aunque ello también puede suponer otros riesgos siendo necesario otros análisis adicionales. 
• Anulación del riesgo: si el riesgo es muy elevado y no se quiere asumir, se puede decidir abandonar la actividad de tratamiento.

b) Valoración del riesgo residual

El riesgo residual es el que afecta a cada actividad una vez se hayan aplicado las medidas de control para mitigar o reducir su nivel de exposición. La fórmula es la misma que para el riesgo inherente:

Tomando como fuente la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, un ejemplo práctico de estimación del riesgo residual (y tomando la numeración recogida en el punto anterior, establecido según el nivel de gravedad):

• Ciclo de vida del dato (fase almacenamiento): almacenamiento de datos de clientes en dispositivos móviles. 
• Amenaza: pérdida del dispositivo móvil.
• Riesgo: acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
• Impacto: violación de derechos fundamentales (significativo —3—) .
• Probabilidad: cada vez que el usuario no tiene en su poder el dispositivo móvil (significativa—3—).
• Riesgo inherente: impacto (—3—) x probabilidad(—3—) = 9 (riesgo alto).
• Medidas de control: método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y pseudonimización de los datos.
• Eficacia del control: reduce la probabilidad a despreciable —1— , debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable —1— , debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
• Riesgo residual: impacto (—1—) x probabilidad (—1—) = 1 (riesgo bajo).

CUESTIÓN

¿Debe consultarse a la autoridad de control el resultado del riesgo residual?

Siguiendo lo recogido en el artículo 36 del RGPD, el responsable debe consultar a la autoridad de control antes de proceder al tratamiento, cuando la EIPD muestre que el tratamiento entraña un alto riesgo en el caso de no tomarse medidas para mitigarlo.  Es lo que se denomina como consulta previa. 

Siguiendo la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, se debe elaborar un plan de acción. El plan de acción es el conjunto de iniciativas que deben llevarse a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable. Este plan debería incluir, al menos, alguno de los siguientes campos de información: 

• Control y su descripción.
• Responsable de implantación.
• Plazo de implantación.

Respecto a la ejecución, se tendrá en cuenta si:

• La EIPD se ha hecho sobre un nuevo tratamiento: el plan de acción se debe considerar durante la fase de definición de requerimientos de la actividad de tratamiento.
• La EIPD se ha hecho sobre un tratamiento ya existente: debe lanzarse un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual y, el responsable del tratamiento establecerá un plazo máximo para implantar las medidas de control.

La evaluación del nivel de riesgo total del tratamiento se obtiene a partir del resultado de la evaluación del nivel de riesgo para cada uno de los factores de riesgo identificados en el tratamiento. Dicha evaluación podrá ser:

• No favorable: en estos casos se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable. Si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la autoridad de control.
• Favorable: la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.