Blog

Protección de Datos

¿Qué es una Evaluación de Impacto y cuándo es obligatorio hacerla?

13 julio, 2018

La nueva normativa europea de protección de datos es de obligado cumplimiento desde el pasado 25 de mayo de 2018. Una de las novedades destacadas del Reglamento Europeo (RGPD) es el proceso de Evaluación de Impacto sobre la Protección de Datos (DPIA).

Una DPIA es una herramienta preventiva que permite conocer y evaluar los riesgos existentes de un tratamiento de datos personales, con el objetivo de adoptar medidas adecuadas que eliminen o mitiguen dichos riesgos.

La Evaluación de impacto está relacionada con el concepto de protección de datos desde el diseño (privacy by design) y el de Responsabilidad Proactiva (accountability). Permite a los responsables cumplir con los requisitos del Reglamento y demostrar que han adoptado las medidas para garantizar el cumplimiento y un nivel de seguridad adecuado.

El RGPD permite hacer una sola Evaluación de Impacto para tratamientos de datos similares que conlleven riesgos parecidos.

 

¿CUÁNDO ES OBLIGATORIO REALIZAR UNA EVALUACIÓN DE IMPACTO?

Las organizaciones deben realizar una Evaluación de Impacto (DPIA) antes de iniciar un nuevo tratamiento de datos personales cuando sea probable que conlleve un alto riesgo para los derechos y libertades de los interesados.

El RGPD advierte sobre una serie de tratamientos en los que existe un alto riesgo y es obligatorio realizar una DPIA:

  1. Evaluación sistemática y exhaustiva de datos personales basada en un tratamiento automatizado. Por ejemplo, elaboración de perfiles para tomar decisiones que produzcan efectos jurídicos para las personas.
  2. Tratamiento a gran escala de datos personales sensibles.
  3. Observación sistemática a gran escala de zonas de acceso público.

 

En caso de no poder mitigar el riesgo, el responsable deberá consultar a la Agencia de Protección de Datos (AEPD). La autoridad de control podrá hacer recomendaciones o prohibir el tratamiento.

 

¿QUÉ OCURRE CON LOS TRATAMIENTOS YA INICIADOS?

Todas las empresas deben realizar un análisis de riesgo de los tratamientos iniciados antes del 25 de mayo. Si este análisis indica que existe un alto riesgo, será obligatorio realizar una DPIA y adoptar las medidas correspondientes para cumplir con las exigencias del Reglamento Europeo.

Para más información, consulta la Guía para las Evaluaciones de Impacto en la Protección de los datos de la AEPD.

 

¿NECESITAS REALIZAR UNA DPIA? NOSOTROS TE AYUDAMOS

Datax ofrece un nuevo servicio de Asesoramiento legal en todas las fases del proceso de Evaluación de Impacto (DPIA).

 

Solicita información, contacta con nosotros en info@datax.es o en el 93 754 06 88.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *