¿Qué es una evaluación de impacto en la protección de datos?
La evaluación de impacto en la protección de datos es un proceso utilizado para identificar y mitigar los riesgos de las actividades de tratamiento de datos. Suele llevarse a cabo al inicio de un nuevo proyecto. En virtud del Reglamento General de Protección de Datos (RGPD) de la UE, la evaluación de impacto en la protección de datos se considera una herramienta clave para aplicar los conceptos de privacidad desde el diseño y privacidad por defecto, teniendo en cuenta la privacidad y los riesgos potenciales al inicio de cualquier nuevo proyecto.
Aunque las evaluación de impacto en la protección de datos (o DPIA, por sus siglas en inglés) se asocian más comúnmente con el RGP, las Evaluaciones de Impacto sobre la Privacidad (o PIA, por sus siglas en inglés) son requeridas por varias leyes y reglamentos en todo el mundo y, en muchos casos, son obligatorias para ciertos tipos de procesamiento, en particular para las operaciones de procesamiento a gran escala que tienen el potencial de plantear altos riesgos para las personas.
Una de las principales ventajas de realizar una DPIA o PIA es que una evaluación del riesgo asociado a cualquier actividad de tratamiento potencial puede ayudar a identificar los riesgos y las medidas de seguridad adecuadas que las empresas deben tener en cuenta. Otra ventaja es que la realización periódica de DPIA y PIA puede ayudar a las organizaciones a garantizar el cumplimiento continuo de la legislación mundial de protección de datos.
¿Cuándo se exige la evaluación de impacto en la protección de datos en virtud del RGPD?
Las DPIA fueron uno de los nuevos requisitos introducidos por el GDPR cuando entró en vigor en mayo de 2018. Aunque muchos consideran que las DPIA son una buena práctica, hay varios escenarios en los que es obligatorio realizar una DPIA. Algunos de los escenarios más comunes en los que es necesario realizar una DPIA incluyen el procesamiento de datos sensibles, la toma de decisiones automatizada y las transferencias internacionales de datos. Las autoridades de supervisión en Europa, como la Oficina del Comisionado de Información del Reino Unido (ICO), incluso han publicado listas predefinidas de actividades de procesamiento que requieren una DPIA bajo el RGPD. Entre ellas se incluyen actividades como:
- Elaboración de perfiles de personas vulnerables
- Marketing o servicios en línea dirigidos a los niños
- Seguimiento sistemático del comportamiento
- Combinación, vinculación o referencias cruzadas de conjuntos de datos separados para la elaboración de perfiles o el análisis del comportamiento de las personas
Además, algunas autoridades de protección de datos han elaborado listas en las que se describen las actividades de tratamiento que no requieren una DPIA. Dichas listas incluyen, por ejemplo, los siguientes casos:
- La administración de salarios
- Operaciones necesarias para el cumplimiento de una obligación legal.
- Actividades de tratamiento llevadas a cabo por centros educativos en el contexto de sus tareas educativas.
Las empresas que entran en el ámbito de aplicación del RGPD siempre deben consultar las directrices emitidas por su autoridad supervisora para determinar si es necesaria una DPIA para sus circunstancias específicas y para comprender exactamente qué incluir en la evaluación.
Requisitos para una evaluación de impacto en la protección de datos
Los requisitos que deben incluirse en una DPIA varían significativamente en función de la legislación, las partes implicadas y el tipo de actividades de tratamiento que deben evaluarse. En general, una DPIA debe incluir detalles del tratamiento, los tipos de datos implicados, un mapa de los datos personales, una descripción de las medidas adoptadas para el cumplimiento y una descripción de los riesgos potenciales y cómo pueden mitigarse. En cuanto a la ejecución de una DPIA, el RGPD establece explícitamente que el responsable del tratamiento debe solicitar asesoramiento a su delegado de protección de datos y que los encargados del tratamiento deben asistir a los responsables del tratamiento en el cumplimiento de sus obligaciones en materia de DPIA. Además, marcos jurídicos como los de Filipinas y Singapur sugieren que se consulte a los interesados como parte del proceso de DPIA.
¿Qué es la consulta previa?
En algunas jurisdicciones, las empresas deben consultar a una autoridad de control cuando una DPIA haya detectado riesgos y que las actividades de tratamiento previstas pueden tener efectos significativos sobre los derechos y libertades de los interesados. Este procedimiento se denomina a veces “consulta previa”. En función del resultado de esta consulta, la autoridad de control puede emitir una simple confirmación, un aviso o incluso ordenar la suspensión del tratamiento.
Comprender, controlar y respetar
Las empresas que planeen nuevas actividades de tratamiento deben comprobar si es obligatorio realizar una DPIA antes de tratar datos personales. Debe prestarse especial atención a las directrices y plantillas publicadas por las autoridades de control, y las organizaciones deben consultar a todas las partes interesadas pertinentes. La evaluación debe garantizar que se aplican las salvaguardias adecuadas para mitigar cualquier riesgo potencial y, en su caso, debe consultarse a la autoridad de control sobre los resultados de la DPIA.
Onetrust ayuda a las organizaciones en el proceso de creación, distribución y análisis de las DPIA mediante flujos de trabajo automatizados, plantillas y una integración sencilla en las herramientas de productividad existentes.
No te pierdas la sesión con nuestro experto en privacidad sobre el tema: Evaluaciones de impacto a la privacidad (PIA) – ver ahora
Solicita una demostración gratuita y deja que nuestros expertos te ayuden.
Comparte este artículo
