Blog

Evaluación de Impacto

Evaluaciones de impacto de protección de datos

Evaluaciones de Impacto de protección de datos: ¿Qué son y cuándo debo realizar una?

13 octubre, 2020

La obligación de realizar Evaluaciones de Impacto de Protección de Datos (EIPD o DPIA en adelante) nace a raíz de la actualización en la normativa europea de protección de datos.

Este procedimiento, en auge en estos momentos, es una herramienta que sirve para identificar los riesgos de un manejo de datos (sea un sistema, producto o servicio) y gestionarlos antes de que se materialicen. Así pues, se cuantifica el riesgo y se busca mitigar la probabilidad de su realización.

Cabe tener en cuenta que la legislación exige que la evaluación se realice antes de iniciar el manejo de datos, para lograr garantizar una salida al mercado con garantías de seguridad establecidas con antelación.

¿Qué hay que tener en cuenta al realizar una evaluación de impacto de protección de datos?

Para realizar una EIPD se deben considerar, de forma muy esquemática, los siguientes puntos:

  • Finalidad y uso de los datos utilizados.
  • Identificación y evaluación de los riesgos potenciales.
  • Elaboración de un plan de acción que incluya medidas de control de riesgos.

Pero ¿Cuándo hay que realizar una EIPD?

El RGPD establece que los Responsables deberán realizar una EIPD, de forma genérica, cuando haya un uso de nuevas tecnologías que entrañe un alto riesgo para los derechos y libertades de las personas físicas y, en particular cuando:

  • Exista una evaluación sistemática y exhaustiva de aspectos personales a través de un uso automatizado de datos.
  • Las operaciones que comporten el manejo de datos especiales o penales, más sensibles de cara a la opinión popular, a gran escala.
  • Se realice una observación sistemática a gran escala de zonas de acceso público.

Esta lista, al estar redactada con conceptos muy abiertos y difíciles de acotar, ha sido objeto de desarrollo y concreción por parte de la Agencia Española de Protección de Datos, que publicó un catálogo de otras operaciones que requieren de una evaluación de impacto.

Dicho listado se puede consultar a través del siguiente link:

https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf

Evaluaciones de impacto de protección de datos como medida de control

Finalmente, es interesante contemplar que, pese a que la normativa habla de situaciones obligatorias de realización de una EIPD, existe la posibilidad de realizarlas de forma voluntaria como estrategia de posicionamiento en el mercado o como medida de control adicional a nivel interno.

En DATAX somos especialistas en la adecuación e implementación de la normativa vigente en Protección de Datos y Seguridad de la Información, siendo capaces de detectar cuándo y conociendo el cómo realizar una EIPD. Con una larga trayectoria profesional que nos acredita, nuestros clientes reciben el asesoramiento necesario para continuar con su actividad profesional, con la garantía de presentar al público productos adecuados a la normativa vigente en protección de datos, privacidad y seguridad de la información. De esta manera, actúan con confianza y profesionalidad en el mercado, eliminando los riesgos de sanción o reclamaciones potenciales de terceros, así como optimizando sus beneficios y recursos.

 

Carla Santos Sánchez

Abogada y Consultora Técnica en Protección de Datos y Seguridad de la Información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *